O que um plano de contingência em segurança deve ter?

O planejamento de riscos envolve uma série de áreas de uma empresa, que se reúnem para criar um plano de contingência, uma espécie de “plano B”, para eventuais emergências envolvendo seus produtos, serviços e elementos essenciais para a continuidade do negócio.

Se antes a TI era excluída da parte do planejamento corporativo de riscos, o setor já tem sua importância reconhecida pelo mercado. O departamento é responsável por uma série de sistemas essenciais para a continuidade ao negócio, tão importantes que o mínimo de downtime já é suficiente para causar prejuízos financeiros e danos severos à marca.

Quando um desastre ocorre, seja proposital ou acidental, o principal foco das empresas é retomar o funcionamento dos sistemas e as operações de negócio para que os funcionários possam voltar ao trabalho.

Como a prioridade são os sistemas essenciais, a segurança da informação sempre teve menos importância nesse planejamento. Porém, a tendência é que isso mude, com as violações de dados ganhando cada vez mais importância nos planos de contingência.

Segurança de dados ganha mais importância
A razão para que a segurança da informação ganhe mais importância nos planos de contingência é a ascensão do movimento de aliar a parte de governança de dados à TI.

Violações de dados que vitimaram grandes empresas recentemente, como a Sony Picture Entertainment, em 2014, o site de relacionamentos extraconjugais Ashley Madison e o Office of Personnel Management (OPM) dos Estados Unidos, em 2015, mostram que uma falha na segurança da informação pode causar estragos tão sérios quanto um sistema fora do ar e também exigem um plano de emergência.

Quando uma violação de dados ocorre, um plano de contingência definido ajuda não apenas a manter os funcionários calmos, mas também a alertá-los quanto à importância dos procedimentos estabelecidos e orquestração das atividades para retomar o negócio da empresa e mitigar os efeitos do incidente.

Logo nos primeiros momentos após identificar a violação, a tendência é que o estresse e o caos tomem conta da equipe, resultando em perdas maiores de reputação e dinheiro. Quando existe um plano de ação para violações de dados, a equipe já está familiarizada com os procedimentos e tem mais chances de minimizar perdas e prevenir que esses ataques ocorram novamente.

O que deve ter um plano de contingência em segurança
Como todo plano de contingência, os planos de emergência em segurança incluem a criação de um comitê formado por membros de diferentes departamentos da empresa. A organização precisa destacar um membro sênior capaz de se relacionar com diferentes áreas e dar a ele acesso fácil ao CEO. O comitê pode incluir membros do jurídico, da comunicação, da TI e dos recursos humanos, por exemplo. Todos devem poder ser contatados rapidamente a qualquer momento quando houver uma emergência.

Entre as práticas e informações que devem ser inclusas no plano, estão procedimentos para identificar um incidente e notificar internamente a equipe quanto a incidentes que envolvem acesso não autorizado a informações sensíveis, medidas para controlar, conter e corrigir os incidentes e treinamentos para os membros do comitê quanto a seus papéis e responsabilidades durante incidentes.

Além disso, é preciso assegurar que as políticas de segurança sejam mantidas durante uma situação de emergência. Isso significa que os controles de recuperação devem ter os dispositivos apropriados de proteção.

(*) Leonardo Moreira é diretor da PROOF