Resposta a incidentes

A resposta a incidentes (IR) é uma abordagem sistemática para ajudar as equipes de TI a se prepararem e planejarem para incidentes, incluindo interrupção de serviço, violação da segurança de uma organização ou um ataque cibernético. Nenhuma organização está totalmente imune a incidentes de TI, principalmente incidentes de segurança, devido à situação atual do trabalho remoto adotado pelas empresas. Quando eles acontecem, são sérios, causando destruição dos dados, violando a confidencialidade e induzindo perdas significativas em termos de produtividade e finanças, o que envolve muito esforço para se recuperar. No entanto, com um plano construtivo de IR, é possível lidar com essas situações de forma mais eficaz e restaurar a normalidade mais rapidamente. O Relatório de custo de uma violação de dados da Ponemon confirma que as organizações com um plano robusto de IR de segurança reduziram os custos causados por incidentes de segurança em uma média de cerca de 2 milhões de dólares.

Portanto, as organizações devem considerar um plano de IR claro e seu curso de ação uma prioridade, e projetar um processo de IR que defina o que um incidente é para sua empresa, criar uma equipe de resposta a incidentes com funções e treiná-los o mais rápido possível.

A abordagem com a qual uma organização responde a um incidente, conhecida como procedimento de resposta, tem um impacto significativo no resultado. Normalmente, o processo de resposta começa com o estabelecimento do plano de IR, feito sob medida para sua organização e seu funcionamento, e a delegação de funções e responsabilidades à equipe de resposta a incidentes. A seguir estão as diferentes fases de resposta a incidentes para um incidente de segurança, de acordo com o National Institute of Standards and Technology (NIST).

1. Preparação

A preparação é a fase mais crucial da resposta a incidentes. Elaborar uma estratégia, documentá-la, criar a equipe de resposta a incidentes, designar funções e responsabilidades, comunicação e treinamento apropriados e adquirir o software e o hardware necessários fazem parte do plano de resposta a incidentes e da preparação para uma violação de segurança.

2. Detecção e análise

Essa fase acontece quando o IR real ocorre, começando com a identificação e o relato de incidentes de segurança. Isso leva à questão de quem relata um incidente e como.

Todos os membros da organização devem estar cientes do plano em vigor e devem relatar violações de segurança assim que suspeitarem. Também é importante informar os clientes para que eles possam ficar de olho. Os funcionários e os clientes devem relatar problemas de segurança detectados em seu ambiente de trabalho. A seguir estão alguns cenários em que o problema não deve ser ignorado e deve ser relatado o mais rápido possível para uma resposta rápida.

• Clientes que relatam problemas de segurança aos canais de suporte da organização
• Ameaças aos dados do cliente por meio de problemas de segurança detectados internamente
• Alertas de segurança acionados por sistemas de detecção de intrusão e ferramentas de monitoramento
• Comunicações por e-mail que podem conter vírus
• Detecção de malware em qualquer um dos dispositivos da organização

Quando um funcionário detecta um incidente de segurança, ele deve reportá-lo à equipe de IR. A organização deve incluir modos diferentes pelos quais os incidentes de segurança podem ser detectados, como formulários da web no portal de autoatendimento, e-mails, bate-papos, chamadas telefônicas, espaços de trabalho digitais colaborativos, incluindo Microsoft Teams, e muito mais. Isso deve ser claramente definido como parte do plano de IR e publicado para funcionários e clientes.

O NIST lista cinco etapas para a fase de detecção e análise:

• Identificar os primeiros sinais de um incidente de segurança
• Analisar os sinais para diferenciar uma ameaça real de um alarme falso
• Documentar o incidente com todos os fatos e procedimentos de resposta relevantes a serem aplicados para lidar com o problema
• Priorização do incidente com base em uma análise de impacto, considerando seus efeitos sobre a funcionalidade e a confidencialidade dos negócios e o tempo e o esforço de resposta necessários para a recuperação
• Notificar as equipes envolvidas e os indivíduos pela equipe de IR, explicando o plano de IR e as etapas a serem seguidas para recuperação rápida

3. Contenção, erradicação e recuperação

A ideia por trás da fase de contenção é colocar o incidente sob controle o mais cedo possível e interromper seus efeitos, de forma que não cause nenhum dano adicional. Isso requer a identificação dos sistemas exatos que estão sob ataque e a atenuação dos efeitos com as estratégias de contenção, erradicação e recuperação de IR. A erradicação do problema pode ser efetuada utilizando uma ferramenta eficaz de gerenciamento de incidente, e conduzindo resoluções utilizando artigos de conhecimento publicados na base de conhecimentos do centro de serviços. Para que o incidente de segurança não seja mais considerado uma ameaça, uma estratégia de recuperação deve estar em vigor. Essa fase também inclui verificar os sistemas afetados e trazê-los de volta ao ambiente de negócios.

Todas essas estratégias devem ser baseadas em critérios como a gravidade do incidente de segurança, a condição dos sistemas afetados, o impacto nos negócios, o registro de evidências e todas as informações sobre o incidente e as ferramentas e recursos necessários para orquestrar a estratégia.

4. Revisão (análise pós-incidente)

Uma reunião de feedback e revisão envolvendo a equipe de IR, as autoridades da organização e cada indivíduo envolvido no incidente de segurança é obrigatória para registrar as lições aprendidas e analisar a eficácia do plano de IR e suas estratégias em cada fase. Aqui estão alguns pontos a serem refletidos durante a fase de revisão:

• A causa raiz e onde ele ocorreu
• Se o incidente poderia ter sido impedido
• O desempenho do plano e da equipe de IR
• A eficácia das estratégias em cada fase
• Tarefas que podem ter ficado em segundo plano
• Qualquer etapa que teria funcionado melhor se feita de forma diferente
• Detecção de ameaças para evitar incidentes semelhantes no futuro

Tendo entendido como uma resposta a incidentes deve ser tratada, também é importante perceber que alcançar um processo de IR eficaz pode ser desafiador sem as ferramentas certas. Às vezes, as organizações não têm as habilidades necessárias internamente e precisam terceirizar IRs. De qualquer forma, para lidar com IRs de forma eficaz, uma ferramenta abrangente para gerenciar incidentes é uma vantagem para garantir o mínimo de danos e tempo de inatividade de incidentes de segurança.