A checklist de continuidade que o seu IT não chega para fazer

Quando se fala em ciberataque, a conversa vai logo para a tecnologia: firewalls, antivírus, backups. Mas no webinar da Câmara de Comércio e Indústria Portuguesa defendi uma ideia diferente: o maior risco de uma empresa não está nos vírus — está na ausência de decisões tomadas antes da crise.

Quando o ataque acontece, não há tempo para pensar. Ou as decisões já estavam tomadas, ou tomam-se à pressa e mal. Por isso, a melhor defesa não é só técnica: é uma checklist de gestão, escrita e preparada com antecedência. Aqui está ela.

1. Garanta a integridade dos dados (a sério)

Ter backups não chega. A pergunta certa é: já testou a reposição? Muitas empresas têm cópias de segurança que nunca restauraram — e descobrem, no pior dia, que não funcionam. Pior ainda: se o backup está ligado à mesma rede, o ransomware moderno também o encripta. Faça cópias regulares, guardadas fora da rede da empresa, e teste a reposição periodicamente.

2. Defina quanto tempo aguenta parado (RTO)

Quanto tempo é que o seu negócio sobrevive parado? Uma hora? Um dia? Uma semana? A maioria dos gestores não sabe responder — e sem essa resposta, é impossível dimensionar a segurança. Defina o tempo máximo de recuperação aceitável e obrigue a equipa de IT a cumpri-lo. É esse número que separa um susto de uma falência.

3. Faça simulacros — como os de incêndio

Ninguém acha estranho fazer um simulacro de incêndio. Então porque não fazer simulacros de incidente de cibersegurança? Treinar o cenário antes de ele acontecer revela as falhas dos procedimentos enquanto ainda há tempo de as corrigir. Quem só testa o plano durante o ataque real, descobre que o plano não servia.

4. Tenha um kit de sobrevivência operacional

No meio de uma crise, não dá para recuperar tudo ao mesmo tempo. Identifique antecipadamente o que é vital — o email? a faturação? a produção? — e defina o que tem de voltar primeiro. Sem essa prioridade definida, perde-se tempo precioso a recuperar o que não era urgente.

5. Saiba o custo de uma hora de paragem

Esta é a métrica que muda tudo. Sem saber quanto custa uma hora de empresa parada, a gestão não consegue decidir quanto investir em segurança — fica a adivinhar. Com esse número, a decisão de investimento deixa de ser um ato de fé e passa a ser uma conta.

6. Defina a matriz de autoridade e os contactos críticos

Num momento de crise, quem tem autoridade para desligar sistemas? Se ninguém souber, perde-se tempo ou toma-se a decisão errada. Defina antecipadamente quem decide o quê. E mantenha uma lista em papel (porque os sistemas podem estar inacessíveis) com os contactos de fornecedores de IT, advogados, seguradora e autoridades (como a CNPD e a Polícia Judiciária).

7. Crie uma cultura de reporte

O ser humano é o elo mais fraco — e também a primeira linha de deteção. Encoraje os colaboradores a reportar imediatamente qualquer comportamento suspeito, sem medo de represálias. Quem tem medo de levar uma reprimenda esconde o erro, e é aí que o ataque ganha tempo.

O ponto essencial

Repare que quase nada nesta lista é "tecnologia". É gestão: decisões, prioridades, responsabilidades, números. A tecnologia executa, mas quem decide se a empresa para ou continua a faturar no meio de uma crise é a gestão. Esta checklist não substitui as defesas técnicas — mas sem ela, as melhores defesas técnicas do mundo não chegam.