Inclua segurança da informação no seu plano de contingência

*por Leonardo Moreira

 O planejamento de riscos envolve uma série de áreas de uma empresa, que se reúnem para criar um plano de contingência, uma022259081_prevstill espécie de “plano B”, para eventuais emergências envolvendo seus produtos, serviços e elementos essenciais para a continuidade do negócio.

Se antes a TI era excluída da parte do planejamento corporativo de riscos, o setor já tem sua importância reconhecida pelo mercado. O departamento é responsável por uma série de sistemas essenciais para a continuidade ao negócio, tão importantes que o mínimo de downtime já é suficiente para causar prejuízos financeiros e danos severos à marca.

Quando um desastre ocorre, seja proposital ou acidental, o principal foco das empresas é retomar o funcionamento dos sistemas e as operações de negócio para que os funcionários possam voltar ao trabalho.

Como a prioridade são os sistemas essenciais, a segurança da informação sempre teve menos importância nesse planejamento. Porém, a tendência é que isso mude, com as violações de dados ganhando cada vez mais importância nos planos de contingência.

 

Segurança de dados ganha mais importância

A razão para que a segurança da informação ganhe mais importância nos planos de contingência é a ascensão do movimento de aliar a parte de governança de dados à TI.

Violações de dados que vitimaram grandes empresas recentemente, como a Sony Picture Entertainment, em 2014, o site de relacionamentos extraconjugais Ashley Madison e o Office of Personnel Management (OPM) dos Estados Unidos, em 2015, mostram que uma falha na segurança da informação pode causar estragos tão sérios quanto um sistema fora do ar e também exigem um plano de emergência.

Quando uma violação de dados ocorre, um plano de contingência definido ajuda não apenas a manter os funcionários calmos, mas também a alertá-los quanto à importância dos procedimentos estabelecidos e orquestração das atividades para retomar o negócio da empresa e mitigar os efeitos do incidente.

Logo nos primeiros momentos após identificar a violação, a tendência é que o estresse e o caos tomem conta da equipe, resultando em perdas maiores de reputação e dinheiro. Quando existe um plano de ação para violações de dados, a equipe já está familiarizada com os procedimentos e tem mais chances de minimizar perdas e prevenir que esses ataques ocorram novamente.

 

O que deve ter um plano de contingência em segurança

Como todo plano de contingência, os planos de emergência em segurança incluem a criação de um comitê formado por membros de diferentes departamentos da empresa. A organização precisa destacar um membro sênior capaz de se relacionar com diferentes áreas e dar a ele acesso fácil ao CEO. O comitê pode incluir membros do jurídico, da comunicação, da TI e dos recursos humanos, por exemplo. Todos devem poder ser contatados rapidamente a qualquer momento quando houver uma emergência.

Entre as práticas e informações que devem ser inclusas no plano, estão procedimentos para identificar um incidente e notificar internamente a equipe quanto a incidentes que envolvem acesso não autorizado a informações sensíveis, medidas para controlar, conter e corrigir os incidentes e treinamentos para os membros do comitê quanto a seus papéis e responsabilidades durante incidentes.

Além disso, é preciso assegurar que as políticas de segurança sejam mantidas durante uma situação de emergência. Isso significa que os controles de recuperação devem ter os dispositivos apropriados de proteção.

*por Leonardo Moreira, diretor da PROOF

Share This Post

Post Comment