A Commvault partilhou os três recursos que, na sua opinião, podem ajudar os CIO a ajudar na resiliência do IT das organizações
Na economia digital de hoje, onde as empresas digitalizaram a maior parte dos seus processos empresariais principais, os dados são mais valiosos do que nunca. Os dados não só impulsionam as operações diárias das empresas, como são, também, uma fonte valiosa de informação que pode ser analisada para gerar conhecimentos e melhorar os resultados futuros das empresas. Porém, enquanto os dados cresceram em importância, a sua pegada, na maioria das empresas, expandiu-se muito para além do centro de dados tradicional. Esta expansão torna os dados de uma empresa mais vulneráveis a ransomware e outros ciberataques, que podem paralisar as operações e privar as organizações do acesso às suas informações e aplicações. Conclusão? O valor crescente dos dados, bem como a sua crescente vulnerabilidade a estas ameaças, tornaram a resiliência das TI mais importante do que nunca. Como resultado, os CIO e outros líderes de TI precisam de potenciar os recursos à sua disposição para oferecerem efetivamente os níveis de resiliência de que necessitam. Recurso n.º 1: Uma cultura consciente do riscoUm recurso frequentemente negligenciado na resiliência informática é a criação de uma cultura consciente do risco em toda a organização. Em termos práticos, isto significa que a segurança não é apenas da responsabilidade do CIO ou da equipa de TI, mas de todos e cada um dos funcionários. Não podemos evitar o risco, pelo que precisamos de promover a consciência e a compreensão das ameaças que enfrentamos para que possamos reconhecê-las e planeá-las. Todos devem estar cientes de que os ataques de phishing são uma ameaça real e persistente e que clicar no link errado ou dar a informação errada por telefone a alguém que finge ser outra pessoa pode ter consequências desastrosas. Além disso, como todos lidam diariamente com ativos empresariais sensíveis de um ou outro tipo - sejam folhas de cálculo com números de vendas, contratos de clientes ou planos estratégicos de marketing - é necessário prestar atenção à forma como esses ativos são protegidos. Alguém guarda ficheiros numa pasta que não tenha sido bloqueada? Alguém utiliza um serviço público de partilha de ficheiros com um mínimo de segurança para partilhar grandes documentos? Um dos investimentos mais baratos em resiliência que um CIO pode fazer - um investimento que, apesar do baixo custo, oferece o maior retorno - é investir na formação do seu pessoal em melhores práticas de segurança, quer seja o armazenamento adequado dos ficheiros ou como reconhecer os sinais de um ataque de phishing ou de engenharia social. Esta formação deve ser contínua. Ao criar uma cultura consciente do risco, as organizações devem também considerar a implementação de tecnologia de cyber-decoy como parte de uma abordagem integrada da gestão do risco. O cyber-decoy emergiu como uma peça vital nas estratégias de cibersegurança de várias camadas, oferecendo ferramentas sofisticadas que detetam e desviam os ataques antes que estes causem danos. Apanhar os "maus da fita" cedo dá aos bons uma melhor oportunidade de luta. Recurso n.º2: Consolidação e automatizaçãoOutro recurso chave que os CIO podem aproveitar para fornecer resiliência informática é a consolidação e automatização. Trata-se, acima de tudo, de reduzir a complexidade da pilha tecnológica global. Quanto mais elementos tiver, maior será a superfície de ataque e maiores serão as oportunidades de vulnerabilidade. As empresas devem procurar minimizar essa superfície, reduzindo as complexidades. Recorrer a aplicações SaaS é uma boa forma de ajudar a atingir este objetivo, mantendo ao mesmo tempo a resiliência das TI. Isto deve-se ao modelo de responsabilidade partilhada, em que os fornecedores de cloud oferecem infraestruturas e segurança lógica e controlos de acesso à plataforma, enquanto a responsabilidade pelo acesso e controlo dos dados permanece com o utilizador. Com estas opções em mente, um bom primeiro passo para a consolidação e automatização é olhar para um determinado fluxo de trabalho - por exemplo, o ambiente de serviço ao cliente - e começar a examinar os processos e a infraestrutura técnica que os suporta. Na realidade, é preciso colocar a caneta no papel e mapear a arquitetura: como é que ela se parece? Poderá contar o número de sistemas, integrações e pontos de contacto e ver o que é SaaS e o que não é. A obtenção deste sentido fundamental do nível de complexidade em torno de vários fluxos de trabalho ajudará a priorizar quais os fluxos a consolidar primeiro. Na execução desta tarefa, as empresas devem prestar especial atenção não só ao número de aplicações num determinado ambiente, mas também ao número de integrações. As integrações são onde muitos sistemas informáticos falham, especialmente se forem construídos à medida, e uma integração comprometida pode servir como um vetor de ataque fácil que permite aos cibercriminosos encontrar o seu caminho desde um único sistema até aos muitos outros com os quais está integrado. Embora a consolidação seja uma medida importante da resiliência das TI, a automatização é também fundamental. Isto porque os processos manuais criam oportunidades para as pessoas cometerem erros, e os erros criam aberturas para os hackers. Por exemplo: Um descuido inocente, como um administrador de servidor esquecer-se acidentalmente de marcar a caixa para uma configuração de segurança ao implementar uma nova funcionalidade de um serviço, pode criar uma abertura que pode ser facilmente explorada. A automatização desse processo não só torna o processo mais repetível e escalável, como também ajuda a eliminar erros humanos, suprimindo o tipo de falhas de segurança acidentais que podem comprometer a resiliência das TI. Recurso N.º 3: BC/DR completoUm recurso final que não deve ser ignorado é um plano abrangente de continuidade de negócios/recuperação de desastres (BC/DR). Não importa o quão segura e bem preparada está uma empresa, ninguém é invulnerável e é preciso preparar-se para o momento em que algo de mau acontece. Isto exige que os CIO pensem não só na tecnologia, mas também nos processos empresariais que esta suporta. DR é a peça tecnológica da equação: se ocorrer algum tipo de desastre e perder o seu sistema e os seus dados, como é que o volta a colocar em funcionamento o mais rapidamente possível? Para isso, é necessária a tecnologia certa. BC, por outro lado, é a parte do processo da equação. Se perder o acesso às ferramentas ou às pessoas que executam os processos, pode garantir que os processos continuarão a funcionar? Um processo como a folha de pagamentos, vendas ou serviço ao cliente. Se pessoas e funções são subitamente afastadas numa determinada área geográfica ou num determinado escritório devido a um acontecimento imprevisto, o que é feito para assegurar a continuidade do negócio? Antes da pandemia, os CIO não enfrentavam muito este tipo de questões. O papel tradicional do CIO foi mais centrado na DR, porque está mais diretamente relacionado com a pilha de tecnologia. A COVID-19 mudou o papel do CIO no sentido de que ele ou ela tem, agora, de fazer parte da conversa em torno da continuidade do negócio e de como manter os processos em movimento mesmo que uma parte da tecnologia falhe. Note-se que é necessário prática quando se trata de BC/DR. É necessária uma pessoa ou equipa responsável que esteja realmente concentrada neste esforço, ou seja, que não o faça como uma tarefa secundária para além das suas outras responsabilidades. Devem estar encarregados da documentação exaustiva e das provas e práticas regulares e contínuas, para que, quando algo acontece, seja quase como uma reação automática. Desafiar as possíveis interrupçõesNão faltam desafios às empresas e aos seus dados, mas os recursos certos, devidamente aproveitados, podem fornecer a resiliência informática de que necessitam para proteger os seus dados e mitigar o impacto de um ciberataque ou outro desastre. Ao criar uma cultura consciente do risco, consolidar a sua pegada tecnológica enquanto automatizam o potencial de erro humano e praticar uma BC/DR eficaz, as empresas descobrirão que têm à sua disposição recursos poderosos para evitar que uma série de potenciais desastres perturbe as suas operações comerciais. |