A área de SI atua sob a pressão de uma catástrofe cibernética, exigindo processos bem definidos nos planos de recuperação de desastres. Em entrevista à Security Report, Rodrigo Godoi, Head de SI e Cyber Security na Riachuelo, comenta o cenário e como esse planejamento deve ser conduzido em parceria com departamento de riscos, controles internos e compliance
Uma pesquisa global realizada pela Arcserve com empresas de 11 países apontou que o Brasil se destacou positivamente ao ter 52% dos respondentes declarando ter um plano de recuperação de desastres bem documentado, o maior percentual entre todos os países participantes do levantamento.
Em certas circunstâncias, o DR (Disaster Recovery) também inclui redundâncias, a fim de impedir que a interrupção das atividades ocorra, o que, no cenário atual, torna-se crucial.
Avaliando as perspectivas ao longo dos próximos meses quando o assunto é Disaster Recovery, Rodrigo Godoi, Head de Segurança da Informação e Cyber Security na Riachuelo, explica que o cenário de Cyber Security está bastante complexo, exigindo dos planos de DR um envolvimento maior de outras áreas como risco, compliance e controles internos.
“As empresas hoje vivem sob um número elevado de ataques cibernéticos, especialmente do tipo ransomware. Com isso, a posição do CISO exige amplo envolvimento com todo o time de Tecnologia que está desenhando o processo de retomada do ambiente. Temos visto que o plano de recuperação tem falhado em alguns aspectos que contemplam a retomada dos sistemas, principalmente no backup de dados. A agilidade é fundamental diante de um desastre”, alerta Godoi em entrevista à Security Report.
O executivo explica o bastidor de um teste de Disaster Recovery: é preciso escolher uma data específica para ocorrer o desligamento de uma produção para que o impacto seja mínimo na operação. A duração do teste é, em média, de 6 horas até que o sistema seja restabelecido e as áreas de negócios tenham mecanismos para testar e fazer suas validações. Assim como também o setor de auditoria, compliance, riscos e controles internos.
Godoi lembra do cenário desafiador em 2020, período de pandemia da COVID-19 em todo o mundo. Na ocasião, empresas de diferentes segmentos foram atingidas por ataques ransomware e muitas não conseguiram retomar rapidamente a operação.
“Muitas organizações não estavam preparadas para um ataque ransomware. Geralmente, quando ocorre um incidente desta natureza, existe a perda do ambiente e quando há a tentativa de retomada, as equipes de SI percebem que existem muitas informações comprometidas, inclusive o próprio backup. Na minha percepção, a maioria das empresas não estão preparadas para Disaster Recovery de um ataque cibernético, mas todos deveriam olhar para essa questão”, pontua Rodrigo.
De acordo com o executivo, o plano DR precisa conversar com a área de riscos da companhia, levando em consideração algumas questões essenciais: quais os atuais riscos? A empresa consegue se recuperar de um ataque ransomware? “Não tem como possuir um BIA (Business Impact Analysis) e um plano de Disaster Recovery que não esteja totalmente alinhados com outros departamentos internos. A Segurança não pode tocar esse projeto sozinha”, explica Godoi.
Ele explica que o BIA, responsável por avaliar os riscos de um determinado projeto, é orquestrado pela Segurança, mas em algumas empresas, é um recurso gerenciado pela área de compliance ou de riscos. “Estamos falando de Disaster Recovery e a recuperação é feita pelo time de tecnologia. É um processo que exige muito alinhamento entre CISO, TI e negócio”, completa.
Atualização do DR
Apesar de ser um plano essencial, o mesmo vale para uma rigorosa atualização, conforme as ameaças vão se sofisticando. Godoi destaca que cada empresa contém sua política e processo. Em média, as organizações fazem essa atualização uma vez por ano, que dependendo da regulamentação da indústria, existe uma exigência específica, como no segmento financeiro, onde há uma série de critérios a serem seguidos.
“Porém, a documentação e o processo têm que ser revisados toda vez que existe uma mudança. Se troquei algum processo que impacta diretamente o meu plano de Disaster Recovery, preciso atualizar, é algo que deve estar muito sincronizado. O CISO, perante a esse momento de ataques, deve acoplar cenários de Disaster Recovery em Cybersegurança, principalmente no que tange ransonware, pois em muitos casos, empresas ficam dias com o sistema indisponível”, finaliza o executivo.
