Recursos/White Papers

Gestão

9 etapas de um plano de resposta a incidentes bem-sucedido

Os planos de resposta a incidentes costumam ser largados de lado, deixando as empresas muito menos capazes de detectar e responder a ataques cibernéticos ou violações de dados. É hora de mudar isso

Doug Drinkwater, CSO/EUA

Publicada em 03 de julho de 2018 às 10h21

Os planos de resposta a incidentes (IR) são projetados para testar a capacidade de sua empresa de responder a um incidente de segurança. O objetivo final é lidar com a situação de modo a limitar os danos ao negócio, reduzindo o tempo e os custos de recuperação.

Infelizmente, a maioria dos planos de RI não cumpre essa promessa.  Muitos permanecem raramente testados e revisados, tornando-se inadequados para o seu propósito quando o incidente ocorre.

O principal objetivo de um plano de resposta é gerenciar incidentes e eventos de cibersegurança de modo a limitar seus danos, aumentar a confiança dos stakeholders externos e reduzir os custos e o tempo de recuperação.

Um plano de Resposta a Incidentes bem feito permite coordenar ações envolvendo diversos departamentos, incluindo, além da TI, a comunicação corporativa, o jurídico, a área de compliance e outras operações de negócio.

Para conquistar mais rapidez na resposta aos incidentes é preciso, além de ferramentas adequadas, ter um plano de resposta e um plano de recuperação sempre atualizados e de fácil entendimento sobre o que fazer se algum incidente acontecer. O plano de segurança corporativo não deve tratar todo usuário igualmente, pelo contrário, precisa focar nas máquinas que trazem mais perigo para o andamento do negócio e tentar isolar os pontos mais críticos em caso de ataque.

Um plano muito bem escrito, integrado ao que a empresa tem de ferramentas disponíveis irá facilitar na tomada de decisões para identificar os problemas previamente, saber quais passos deverão ser tomados, isolar o problema sempre que possível e tratar a ameaça com eficiência e rapidez.

Confira como manter um plano de resposta a incidentes bem-sucedido. 

1. Resolver problemas de negócios e atribuir funções
Infelizmente, poucas empresas têm um plano de RI. Para aquelas que o fazem, até mesmo os melhores planos podem carecer de informações críticas ou não incluir as pessoas certas.

De fato, a consultoria McKinsey informa que a documentação de RI é frequentemente “desatualizada” e “genérica” e “não é útil para orientar atividades específicas durante uma crise”. Isso significa que você precisa começar com o básico, implementar um plano e mapear estrutura correta e definir os papéis dos funcionários.

Para começar, a McKinsey aconselha que, logo no início do processo de desenvolvimento, as empresas envolvam as pessoas que possuirão e manterão a documentação de RI. Isso ajudará a transição do programa de uma iniciativa de RI especial para práticas de business-as-usual (BAU). Também é importante desenvolver outros componentes-chave, como uma taxonomia de incidentes (para ajudar na identificação e correção de ataques) e estruturas de classificação de dados.

Criticamente, é importante que esses planos realmente compreendam o negócio e descrevam os papéis que determinados funcionários desempenharão. Alguns sugerem que ter um executivo responsável pela implementação do plano nas unidades de negócios e nas geografias também é essencial.

“O plano de RI deve estar alinhado com o que é importante para o negócio, a cultura da empresa, como a resposta acontece aos problemas ou incidentes atuais e como a resposta precisa mudar para se adaptar no futuro”, diz Sloane Menkes, diretor do negócio de segurança cibernética da PwC.

“Papéis e responsabilidades claramente definidos são fundamentais”, acrescenta o CISO da Intertek, Dane Warren. "É essencial garantir que as pessoas sejam treinadas para desempenhar efetivamente esses papéis e responsabilidades".

2. Envolver os departamentos de negócios relevantes
Como ocorre com a maioria dos problemas de segurança, os planos de RI fracos e não testados geralmente caem porque continuam sendo o trabalho dos departamentos de TI e InfoSec isolados.  Um plano de RI bem-sucedido e bem elaborado também exige colaboração entre empresas, porque a resposta a uma violação ou incidente de segurança requer esse mesmo nível de comunicação e colaboração comercial. 

Por exemplo, se um varejista que foi violado e perdeu informações de cartão de crédito pode precisar envolver PR (para revelar o incidente), desenvolvedores da Web (localizar e corrigir falhas de software), operações (para examinar SLAs), marketing e suporte ao cliente. E alertar todo o ecossistema de parceiros financeiros.

"A melhor maneira de formular um bom plano de RI é trazer as partes interessadas necessárias durante o desenvolvimento, para garantir o máximo de adesão em toda a organização", diz Sean Mason, diretor de serviços de resposta a incidentes da Cisco, que diz que os diagramas RACI podem ser úteis para dividir responsabilidades.

Quem deve estar envolvido, então?

 “Além das equipes típicas de segurança da informação e outras funções de suporte de TI, uma lista de outros profissionais deve ser considerada como parte de um plano de RI”, acrescenta Mason. “O C-suite, as equipes de negócios críticos, DR/BCP, equipes de inteligência, recursos humanos, jurídicos, relações públicas, aplicação da lei, equipes externas de RI e fornecedores, conforme apropriado.”

“As linhas de negócios precisam estar engajadas no processo de planejamento”, acrescenta Neal Pollard, diretor do negócio de segurança cibernética e prática de prontidão a incidentes na PwC. “Por exemplo, embora TI e jurídico possam estar alinhados, os proprietários de funções de negócios podem não concordar com um curso de ação ou podem ver outros impactos negativos que precisam ser resolvidos. Ter uma visão do nível de negócios é fundamental para desenvolver um plano de RI sólido e completo ”.

3. Identificar os KPIs para medir o evento
Um bom plano de RI provavelmente será subjetivo - e, portanto, não está claro como será realmente útil - a menos que haja indicadores de desempenho (KPIs) claros sobre o que constitui sucesso. Os especialistas acreditam que esses KPIs podem ser qualitativos e quantitativos. Para o primeiro, isso pode incluir o tempo para detecção, o tempo para relatar um incidente (importante à luz da janela GDPR de 72 horas, em vigor em maio de 2018), e o tempo para triagem e investigação. Do lado qualitativo, os KPIs podem incluir o número de falsos positivos, a natureza do ataque (malware versus não malware) e a ferramenta de segurança que detectou o incidente.

“A equipe de RI não deve temer estatísticas ou KPIs. Eles são simplesmente medidas de gerenciamento. Entenda como eles funcionam e você poderá se comunicar diretamente com os executivos ”, diz o instrutor da SANS, Steve Armstrong. “O negócio usa KPIs para medir o desempenho e os tempos de resposta, portanto, escolher bons KPIs permitirá que uma equipe ganhe mais recursos e suporte da organização.”

4. Testar, testar e testar novamente
Indiscutivelmente um dos maiores problemas aqui é que, enquanto as empresas realizam exercícios regulares da equipe de segurança, elas não testam o plano de RI o suficiente, um exercício que deve envolver todos e, idealmente, simular uma violação. De fato, alguns dizem que as empresas às vezes sabem como deve ser esse teste.

A execução desses testes mantém o plano de RI atualizado e adequado à finalidade na era moderna, ao mesmo tempo em que também ajuda a identificar (e consertar) pontos fracos no negócio. Isso, em última análise, afeta onde os orçamentos de segurança serão gastos.

"É importante entender que muitas empresas estão criando, mas não testando seu plano de RI", diz Pollard. “O teste pode ser um pesadelo de logística, muitas vezes exigindo um dia inteiro, se não vários dias. Os maiores obstáculos para testar um plano estão relacionados ao tempo, coordenação e comprometimento dos principais executivos, incluindo o CEO. O teste também exige que os executivos discutam questões que não necessariamente afetam cada um especificamente em uma base diária e, portanto, podem ser considerados menos sensíveis ao tempo ”.

5. Revisar o plano constantemente
Os planos de RI devem ser revisados ​​com frequência e especialmente conforme a empresa cresce. “Um plano de RI deve ser robusto o suficiente para fornecer uma estrutura excelente para operar dentro, mas flexível para lidar com quase todas as situações jogadas nele. A flexibilidade diz respeito à facilidade com que pode ser atualizada - e deve ser revisada e possivelmente atualizada com bastante regularidade ”, diz Mason.

6. Determinar o que é um incidente
Relacionada aos KPIs deve estar a definição do que é - e o que não é - um incidente. Ao fazer isso, você descobre o que deve ser considerado e o que deve ser ignorado, além de garantir que sua equipe de segurança esteja trabalhando apenas nos problemas mais sérios.

Por exemplo, uma tentativa de ataque é um incidente ou o invasor precisa ser bem-sucedido para garantir uma resposta? Uma vez definidos os incidentes, as empresas devem conduzir uma análise de ameaça de incidentes descobrindo e documentando as ameaças, riscos e falhas potenciais que afetam as medidas de segurança atuais de sua organização.

Um guia útil é a topologia de incidentes do Instituto Nacional de Padrões e Tecnologia. (NIST), que define amplamente as categorias de incidentes como acesso não autorizado, código malicioso, negação de serviço e uso inadequado.

Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

incidente

7. Formar sua equipe, liderada por um experiente analista de RI
Equipes de resposta a incidentes analisam relatórios de violações de segurança e inteligência de ameaças para desenvolver a estratégia de resposta a incidentes da organização. Existem vários tipos de equipes de resposta a incidentes que podem ser compostas internamente, externamente ou a partir de uma mistura de ambos.

Alguns sugerem que, embora esse processo deva envolver vários interessados, dentro e fora de TI (incluindo o pesquisador principal e o diretor de TI), ainda é verdade que ele depende muito de testadores de penetração experientes e líderes de RI. “Normalmente, as equipes incluem uma gama de habilidades entre os indivíduos, sendo os mais importantes a análise forense e da rede”, diz Armstrong. “Além disso, boas equipes incluem regularmente especialistas em análise de memória, análise de malware e habilidades de inteligência contra ameaças. 

“No entanto, não negligencie as habilidades da equipe de investigação para que tanto as habilidades de ataque quanto as de análise de log tenham um papel a desempenhar também. Para um gerente de equipe de RI, um experiente analista de RI que pode fazer tudo isso e entender como os executivos falam e pensam - esse é o unicórnio que você procura (eles existem!) ”, acrescenta.

Trocando em miúdos, ferramentas, equipe e processos devem estar integrados para que a segurança corporativa funcione. O ideal é que tudo seja mapeado e estudado para garantir a resposta o mais rápido possível.

8. Implementar as ferramentas certas
“Um bom plano de RI será centrado em torno da visibilidade e compreensão da rede, detecção do invasor, alerta adequado, comunicação segura para a equipe e bom relacionamento  com o resto do negócio”, diz Armstrong. "A boa inteligência das ameaças ajudará a visibilidade e o entendimento da atividade dos invasores e a boa comunicação permitirá que a equipe de RI explique a violação ao resto do negócio para que eles possam planejar a correção."

9. Estabelecer uma estratégia de comunicação
A comunicação é essencial em todos os momentos para a resposta a incidentes, e é particularmente importante que você tenha uma estratégia de comunicação sobre como você deve alertar terceiros e, se apropriado, também equipes internas. Externamente, os provedores de reparação da lei e potencialmente responsáveis ​​pela violação devem ser notificados, enquanto os funcionários devem estar no topo da lista de comunicação interna. Eles devem estar cientes do plano de resposta a incidentes (se possível), ter acesso a ele e, mais criticamente, receber treinamento sobre o processo, para melhor entender seu papel.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui