Se antes a TI era excluída da parte do planejamento corporativo de riscos, o setor já tem sua importância reconhecida pelo mercado. O departamento é responsável por uma série de sistemas essenciais para a continuidade ao negócio, tão importantes que o mínimo de downtime já é suficiente para causar prejuízos financeiros e danos severos à marca.
Quando um desastre ocorre, seja proposital ou acidental, o principal foco das empresas é retomar o funcionamento dos sistemas e as operações de negócio para que os funcionários possam voltar ao trabalho.
Como a prioridade são os sistemas essenciais, a segurança da informação sempre teve menos importância nesse planejamento. Porém, a tendência é que isso mude, com as violações de dados ganhando cada vez mais importância nos planos de contingência.
Segurança de dados ganha mais importância
A razão para que a segurança da informação ganhe mais importância nos planos de contingência é a ascensão do movimento de aliar a parte de governança de dados à TI.
Violações de dados que vitimaram grandes empresas recentemente, como a Sony Picture Entertainment, em 2014, o site de relacionamentos extraconjugais Ashley Madison e o Office of Personnel Management (OPM) dos Estados Unidos, em 2015, mostram que uma falha na segurança da informação pode causar estragos tão sérios quanto um sistema fora do ar e também exigem um plano de emergência.
Quando uma violação de dados ocorre, um plano de contingência definido ajuda não apenas a manter os funcionários calmos, mas também a alertá-los quanto à importância dos procedimentos estabelecidos e orquestração das atividades para retomar o negócio da empresa e mitigar os efeitos do incidente.
Logo nos primeiros momentos após identificar a violação, a tendência é que o estresse e o caos tomem conta da equipe, resultando em perdas maiores de reputação e dinheiro. Quando existe um plano de ação para violações de dados, a equipe já está familiarizada com os procedimentos e tem mais chances de minimizar perdas e prevenir que esses ataques ocorram novamente.
O que deve ter um plano de contingência em segurança
Como todo plano de contingência, os planos de emergência em segurança incluem a criação de um comitê formado por membros de diferentes departamentos da empresa. A organização precisa destacar um membro sênior capaz de se relacionar com diferentes áreas e dar a ele acesso fácil ao CEO. O comitê pode incluir membros do jurídico, da comunicação, da TI e dos recursos humanos, por exemplo. Todos devem poder ser contatados rapidamente a qualquer momento quando houver uma emergência.
Entre as práticas e informações que devem ser inclusas no plano, estão procedimentos para identificar um incidente e notificar internamente a equipe quanto a incidentes que envolvem acesso não autorizado a informações sensíveis, medidas para controlar, conter e corrigir os incidentes e treinamentos para os membros do comitê quanto a seus papéis e responsabilidades durante incidentes.
Além disso, é preciso assegurar que as políticas de segurança sejam mantidas durante uma situação de emergência. Isso significa que os controles de recuperação devem ter os dispositivos apropriados de proteção.
Leave a Comment