Varonis | Segurança de dentro para fora

Como responder a um incidente de segurança

Escrito por Emilia Bertolli | Aug 22, 2016 6:08:00 AM

Todos os dias uma empresa é pega de surpresa por uma violação de dados. Evitar um ataque é ideal, nem sempre é possível. Não há uma segurança perfeita. Mesmo que você tenha terceirizado o seu TI ou os seus dados estejam na nuvem, em última instância, a responsabilidade de manter os dados do cliente seguros cai sobre seus ombros.

No caso lamentável em que a sua empresa sofre uma quebra, você deve estar preparado para enfrentá-la rapidamente. Para ajudar, criamos um meio fácil de implementar o plano que define formas de responder e se recuperar de um incidente de segurança cibernética de forma proativa.

Evitar

Evitar um ataque sempre que possível é o melhor – mas também é importante ter um plano de resposta a incidentes cibernéticos no lugar, em antecipação de um ataque.

Faça um inventário
Que informação é missão crítica para a sua organização? Onde isso está? Qual a rapidez com que pode ser restabelecido quando é tomado em um ataque?
Realize uma auditoria completa de seus sistemas, tome nota dos componentes mais importantes e controle tudo. Certifique-se de que você não é a única pessoa ciente deste documento.

Escolha uma equipe (ou duas)
Agora que você sabe o que é mais importante, certifique-se de que todos os participantes relevantes estão cientes também. Indique uma pessoa, como o proprietário da empresa de TI, na eventualidade de um ataque cibernético. Este indivíduo precisa estar prontamente disponível em caso de emergência, e equipado para gerir os diversos componentes técnicos internos envolvidos com a recuperação de uma violação. Nomeie uma segunda pessoa para gerir as necessidades externas de uma violação – como a sensibilização junto às relações públicas, entre em contato com a assessoria jurídica da organização, etc. Ambos os papéis são essenciais para uma resposta oportuna e eficaz. Apenas por segurança – escolha uma pessoa para comandar as equipes. Afinal, ninguém está isento de erros.

Faça um plano
Você sabe os dados, você tem as pessoas certas no lugar certo – agora é hora de desenvolver um plano de ação e fornecer os procedimentos específicos e concretos a serem seguidos durante um incidente cibernético. Os procedimentos devem abordar:

Quem tem a responsabilidade de liderar?
– Como entrar em contato com o pessoal essencial, e que dados, redes e serviços devem ser priorizados para a recuperação.
– Como preservar os dados que foram comprometidos pela intrusão e executar a revisão nas falhas de segurança e insights sobre o ataque real.
– Quem precisa ser notificado (proprietários de dados, clientes ou empresas parceiras) se os seus dados, ou dados que afetam suas redes forem roubados.
– Quando e qual a aplicação da lei deve ser usada, bem como quaisquer organizações regulamentadas devem ser notificadas.

 

Uma vez desenvolvido, este plano não deve ser escondido. Certifique-se de que todos na equipe estão cientes. Além disso, tenha tempo para avaliar a relevância e a atualização do plano de cada trimestre conforme a necessidade. Infelizmente, a segurança não é estática. Além disso, ele deve ser testado antes de um incidente cibernético real.

 

Endereço

Apesar de todo o seu planejamento, preparação e boas intenções – o que acontece quando você for atingido por um ataque cibernético? Em primeiro lugar –  implementar o seu plano de incidente cibernético o mais rápido possível. Tome uma avaliação crítica da situação. Será que ela parece ser um ataque malicioso ou uma falha tecnologia simples ou errada? Depois de determinar a intenção, é hora de recolher e preservar os dados afetados, e colocar o resto do seu plano em ação.

Para quem você deve ligar?
Tenha esta informação em um lugar prontamente disponível dentro do seu plano de incidente cibernético. Comece o seu alcance imediato com os responsáveis pela resposta e trabalhe seu caminho por essa linha. Por exemplo, o proprietário “externo” na sua organização deve notificar a aplicação da lei, possíveis vítimas e do Departamento de Segurança Interna, se necessário. No geral, a melhor abordagem é a transparência. Ninguém quer admitir uma violação. No entanto, esconder informações críticas ou atrasar a notificação pode ser mais prejudicial ainda. Uma boa abordagem deve ser tão direta quanto possível, com destaque para o conhecido e prometendo acompanhar qualquer desconhecido. Como sempre, mantenha-o simples e direto. Não faça promessas que não possa cumprir.

Você pode precisar de um profissional
Às vezes, uma equipe de resposta interna só não é suficiente. Felizmente, existem muitas organizações de terceiros que se especializam em resposta a incidentes e pode ajudá-lo a navegar através da violação. Um profissional de fora pode ter outro olhar sobre a situação e ajudar a identificar uma violação que ainda está a caminho. Eles podem ajudar você a descobrir exatamente o que foi acessado e comprometido, identificar quais vulnerabilidades causou a violação de dados, e remediar para que o problema não volte a acontecer.

Verificar e reintegrar
Por fim, verifique se o backup de dados não foi comprometido. Não seria bom restaurar o sistema usando dados que você acredita que são válidos, apenas para descobrir como os seus dados foram comprometidos.

 

Ação

Mesmo depois de um incidente cibernético parecer estar sob controle, mantenha-se vigilante. Muitos intrusos voltam e tentar recuperar o acesso a redes anteriormente comprometidas. É possível que, apesar de seus melhores esforços, um hacker possa ainda encontrar um caminho para o seu sistema.

 

Monitorar mais
Continue a monitorar o sistema fora da atividade normal. Invista em uma solução de software que utiliza análises do comportamento do usuário para reconhecer um comportamento incomum e notificar antes de um ataque real. A Varonis, por exemplo, vai reconhecer e notificar sobre as ameaças tanto externas como internas antes que o dano irreparável possa acontecer.

Apenas os fatos
Uma vez que a sua organização se recuperou do ataque, é hora de rever completamente o que aconteceu, e tomar medidas para evitar ataques semelhantes. O que correu bem com o plano de resposta ao incidente cibernético? O que pode precisar de um pouquinho de ajustes? Avalie os pontos fortes e fracos do plano, e determine o que precisa de ajuste. Implemente as mudanças. Você será feliz que com o que fez, se for atacado novamente.

Reagir, Revisar e Revisitar
Proteger contra um incidente cibernético é um trabalho em tempo integral. Como um ransomware e o insider evoluem, se tornam ameaças consistentes, é importante rever e revisar o seu plano de Cyber Incident.

Mantenha o seu plano até a data
Tem a tecnologia certa no lugar (incluindo monitoramento de rede legítima) para resolver um incidente.
Contrate uma assessoria jurídica que está familiarizada com as questões complexas, associadas a incidentes cibernéticos.
Certifique-se de políticas corporativas existentes e alinhe com o seu plano de resposta a incidentes.
Um incidente cibernético não é algo que você gostaria de enfrentar. No entanto, ser pró-ativo e preparado vai fazer uma enorme diferença na sua resposta.