{"id":7531,"date":"2022-02-02T15:25:06","date_gmt":"2022-02-02T15:25:06","guid":{"rendered":"https:\/\/eurodefense.pt\/?p=7531"},"modified":"2023-02-20T18:04:44","modified_gmt":"2023-02-20T18:04:44","slug":"ciberesiliencia-estar-preparado-para-tudo","status":"publish","type":"post","link":"https:\/\/eurodefense.pt\/ciberesiliencia-estar-preparado-para-tudo\/","title":{"rendered":"Ciberesili\u00eancia – estar preparado para tudo!"},"content":{"rendered":"\n
\u00c9 cada vez mais comum ouvir-se falar de ciberesili\u00eancia no dom\u00ednio da ciberseguran\u00e7a. A ideia de resili\u00eancia n\u00e3o \u00e9, nem de longe, uma ideia inovadora<\/span><\/strong><\/p>\n\n\n\n Podemos identificar comportamentos de resili\u00eancia na natureza, nos exemplos mais simples, como o dobrar de uma \u00e1rvore perante a for\u00e7a do vento, que depois regressa \u00e0 posi\u00e7\u00e3o inicial, mas tamb\u00e9m em organismos bem mais complexos, como o corpo humano, que tem a capacidade de resistir e se adaptar quando atacado por um v\u00edrus. As pr\u00f3prias organiza\u00e7\u00f5es, tamb\u00e9m elas sistemas das nossas sociedades, em especial aquelas que t\u00eam opera\u00e7\u00f5es de gest\u00e3o de infraestruturas cr\u00edticas e que prestam servi\u00e7os essenciais, h\u00e1 muito que compreendem a necessidade de manter operacionais os seus ativos f\u00edsicos e humanos face a eventos adversos, como no caso de ocorr\u00eancia de m\u00e1s condi\u00e7\u00f5es climat\u00e9ricas ou mesmo uma situa\u00e7\u00e3o pand\u00e9mica.<\/p>\n\n\n\n A ciberesili\u00eancia trata, portanto, de trazer este conceito de resili\u00eancia para o mundo digital. Existem muitas defini\u00e7\u00f5es para ciberesili\u00eancia. Uma, particularmente interessante, porque une as principais capacidades atribu\u00eddas \u00e0 ciberesili\u00eancia com a ideia da constru\u00e7\u00e3o de sistemas em engenharia, \u00e9 a seguinte: \u201cA capacidade de construir sistemas capazes de antecipar e contornar acidentes, sobreviver a interrup\u00e7\u00f5es atrav\u00e9s da aprendizagem apropriada e adapta\u00e7\u00e3o, e recuperar de interrup\u00e7\u00f5es retornando o mais pr\u00f3ximo poss\u00edvel ao estado anterior \u00e0 interrup\u00e7\u00e3o\u201d[1]<\/span><\/strong><\/a>. Na pr\u00e1tica a ciberesili\u00eancia \u00e9 a capacidade de estar preparado para tudo o que possa ocorrer no espa\u00e7o digital, atrav\u00e9s do desenho, constru\u00e7\u00e3o e opera\u00e7\u00e3o de sistemas, segundo os princ\u00edpios de engenharia, sendo a resili\u00eancia uma das propriedades dos sistemas!<\/p>\n\n\n\n Compreender a necessidade de adotar ciberesili\u00eancia nas nossas organiza\u00e7\u00f5es n\u00e3o requer grandes racioc\u00ednios ou reflex\u00f5es. A realidade atual mostra- -nos, por um lado, que os ciberataques s\u00e3o cada vez em maior n\u00famero e sofistica\u00e7\u00e3o, com consequ\u00eancias tamb\u00e9m elas mais gravosas, enquanto que, por outro, decorrente do progresso, a nossa depend\u00eancia tecnol\u00f3gica vai crescendo e os sistemas evoluindo, abrindo espa\u00e7o para o surgimento de mais vulnerabilidades, assim como as motiva\u00e7\u00f5es para a explora\u00e7\u00e3o das mesmas por agentes mal-intencionados. Trata-se, portanto, de ter a coragem de assumir que os sistemas modernos s\u00e3o complexos e muito interligados e, como tal, os ambientes operacionais onde funcionam, assim como as cadeias de fornecimento, sempre ter\u00e3o falhas e fraquezas que os advers\u00e1rios poder\u00e3o explorar, porque n\u00e3o existe risco zero e seguran\u00e7a absoluta capaz de proteger de todas as amea\u00e7as.<\/p>\n\n\n\n Ciberseguran\u00e7a e “confian\u00e7a zero” (zero trust)<\/span><\/strong><\/p>\n\n\n\n \u00c9 importante aqui observar que adotar uma abordagem de ciberesili\u00eancia n\u00e3o significa a substitui\u00e7\u00e3o da ciberseguran\u00e7a por outro conceito ou que esta deixa de fazer sentido, ao contr\u00e1rio do que se pode subentender, perigosamente, em alguns artigos sobre o tema. A ciberseguran\u00e7a \u00e9 uma disciplina muito abrangente, incontorn\u00e1vel para a sobreviv\u00eancia das organiza\u00e7\u00f5es e das sociedades modernas, tendo como objetivos a integridade, autenticidade, confidencialidade e disponibilidade dos recursos de informa\u00e7\u00e3o, assentes nas capacidades de prevenir, detetar, responder e recuperar. A ciberesili\u00eancia complementa e aumenta o alcance dos objetivos da ciberseguran\u00e7a, potenciando algumas medidas implementadas por esta, para alcan\u00e7ar o seu pr\u00f3prio objetivo primordial, que \u00e9 o de assegurar uma continuidade operacional das fun\u00e7\u00f5es cr\u00edticas da organiza\u00e7\u00e3o, nomeadamente, perante a ocorr\u00eancia de eventos adversos.<\/p>\n\n\n\n Mesmo quando nos referimos a abordagens de \u201cconfian\u00e7a zero\u201d (zero trust), estamos a falar de uma estrat\u00e9gia de ciberseguran\u00e7a normalmente assente em 3 princ\u00edpios, a saber: privil\u00e9gios m\u00ednimos (least privilege), verifica\u00e7\u00e3o constante (always verify) e assun\u00e7\u00e3o de compromisso dos nossos ativos (assume breach). Efetivamente, assumir o comprometimento dos recursos, curiosamente o \u00fanico princ\u00edpio que \u00e9 realmente novo porque os outros dois sempre existiram na ciberseguran\u00e7a, \u00e9 o princ\u00edpio comum com a ciberesili\u00eancia. Todavia, como j\u00e1 referido, esta tem um outro foco que \u00e9 o de assegurar a miss\u00e3o cr\u00edtica do neg\u00f3cio em situa\u00e7\u00f5es adversas.<\/p>\n\n\n\n