A perspetiva da Cyber Academy
Um exercício de mesa é uma simulação baseada em discussão de um cenário perturbador com a equipa de resposta reunida à mesa. Barato, rápido, expõe as lacunas que nenhuma revisão documental revela. Prática exigida ao abrigo do ISO 22301, NIS 2 e DORA, e a atividade com maior ROI num programa de BCM. Agende-os trimestralmente, não anualmente.
O que é realmente um exercício de mesa
Um exercício de mesa reúne numa mesma sala as pessoas que teriam de responder a uma disrupção, conduz-nas por um cenário realista e pede-lhes que expliquem o que fariam, passo a passo. Ninguém mexe nos sistemas de produção. Ninguém comuta nada para um local de recuperação. Todo o sentido está na conversa: quem decide, quem é chamado, o que diz o plano face ao que a equipa faria realmente, e onde o documento se cala precisamente no momento em que é necessária uma decisão. É baseado na discussão por conceção, e é por isso que é barato e rápido de realizar.
Esse baixo custo é a razão pela qual é a atividade de maior retorno num programa de continuidade ou de resposta a incidentes. Um facilitador apresenta uma situação inicial e depois injeta nova informação à medida que a discussão avança: a cópia de segurança também está cifrada, a imprensa tem a história, o responsável de piquete está incontactável. A equipa raciocina em voz alta e as lacunas surgem perante as pessoas capazes de as corrigir. Uma revisão documental nunca produz isso. Ler um plano confirma que ele existe. Percorrer um cenário revela se alguém o compreende, se a lista de contactos está atualizada e se duas equipas presumem cada uma que é a outra que declara o incidente.
Em que difere de outros tipos de exercício
Os exercícios de mesa situam-se numa extremidade de um espectro de rigor. São deliberadamente o formato mais leve, o que os torna adequados para serem realizados com frequência. Os exercícios mais pesados validam os mecanismos de que um exercício de mesa apenas fala, a um custo e com uma perturbação muito superiores.
| Tipo de exercício | O que faz | Custo e perturbação |
|---|---|---|
| Exercício de mesa | Percurso de um cenário baseado na discussão, em torno de uma mesa; faz emergir as lacunas de decisão e de plano | Baixo |
| Walkthrough / drill | Ensaio passo a passo de um único procedimento, como uma árvore de chamadas ou um restauro | Baixo a moderado |
| Exercício funcional | Ativação real de funções de resposta específicas sem afetar a produção | Moderado a alto |
| Teste em larga escala / em condições reais | Comutação ou recuperação real em condições próximas de um incidente verdadeiro | Alto |
O erro comum é tratar o exercício de mesa como um substituto do teste em condições reais. Não o é. Um exercício de mesa prova que as pessoas conhecem o plano e sabem tomar decisões; só um teste funcional ou em larga escala prova que as cópias de segurança se restauram realmente e que os objetivos de recuperação são alcançáveis. Um programa maduro usa ambos: exercícios de mesa frequentes que alimentam as lições que tornam úteis os raros e dispendiosos testes reais.
O lugar dos exercícios de mesa nas normas e na regulação
Realizar exercícios não é opcional ao abrigo dos referenciais que regem a resiliência. ISO 22301, a norma internacional para os sistemas de gestão de continuidade de negócio, exige que as disposições de continuidade sejam exercitadas e testadas, e o exercício de mesa é a forma mais comum pela qual as organizações cumprem esse requisito entre testes reais. Na União Europeia, a Diretiva NIS 2 espera medidas de continuidade de negócio e de gestão de crise por parte dos operadores dos setores essenciais e importantes, e o Digital Operational Resilience Act estabelece expectativas de teste explícitas para as entidades financeiras, onde os exercícios baseados em cenários fazem parte do programa de testes de resiliência.
O que os auditores e os reguladores procuram não é apenas que um exercício tenha ocorrido, mas que tenha sido documentado e seguido de ação. Um exercício de mesa que não produz qualquer registo nem qualquer ação corretiva é teatro. O valor concretiza-se no relatório pós-ação: o que falhou, quem é responsável pela correção e quando será novamente testado. É esse ciclo, do cenário à constatação, depois à correção e ao exercício seguinte, que transforma um exercício de mesa de uma simples caixa a assinalar no motor que mantém um programa de continuidade atualizado.
Frequently asked questions
01Qual é a diferença entre um exercício de mesa e um teste em larga escala?
Um exercício de mesa é um percurso baseado na discussão em que a equipa percorre um cenário sem mexer nos sistemas em produção, pelo que é barato e rápido. Um teste em larga escala comuta ou recupera realmente os sistemas em condições quase reais, o que é muito mais dispendioso mas é a única forma de provar que a recuperação técnica funciona.
02Com que frequência se deve realizar um exercício de mesa?
Com mais frequência do que uma vez por ano. Os planos desatualizam-se depressa à medida que pessoas, fornecedores e sistemas mudam, pelo que muitos programas realizam exercícios de mesa trimestrais e reservam os testes reais, mais raros e dispendiosos, para validar a recuperação técnica.
03Quem deve participar num exercício de mesa?
As pessoas que responderiam realmente: o responsável de incidente ou de crise, os intervenientes de TI e segurança, os responsáveis de negócio das atividades afetadas, e a comunicação e o jurídico quando o cenário o justifique. A direção deve participar nas decisões que lhe competem, uma vez que é muitas vezes aí que aparecem as verdadeiras lacunas.
04Um exercício de mesa satisfaz os requisitos de teste da ISO 22301 ou do DORA?
Contribui para eles, mas raramente os satisfaz sozinho. ISO 22301 e DORA esperam que as disposições de continuidade e resiliência sejam exercitadas, e um exercício de mesa documentado ajuda a demonstrá-lo, mas os reguladores também esperam testes funcionais e reais que provem que a recuperação funciona realmente.
05O que torna um exercício de mesa eficaz?
Um cenário realista, injeções bem cronometradas que forçam decisões, uma discussão honesta em vez de recitar o plano, e um relatório pós-ação que atribui ações corretivas com responsáveis e datas. Sem o acompanhamento documentado, as lacunas que encontrou nunca são fechadas.