Ataques cibernéticos frequentemente comprometem dados pessoais e de negócio. É vital que se responda rápida e eficientemente quando brechas de segurança ocorrem.
Um dos benefícios por se estabelecer um plano de resposta à incidentes é a capacidade de uma ação coordenada e sistemática (por exemplo, seguindo uma metodologia definida e consistente) para que medidas apropriadas sejam tomadas. Isto ajuda a minimizar a perda ou roubo de informação e interrupção dos serviços como resultado de um incidente de segurança.
Além disso, incorporar um plano de resposta à incidentes possibilita usar a informação reunida durante o gerenciamento de incidente e ser capaz de estar melhor preparado para lidar com incidentes mais críticos no futuro e providenciar controlos de segurança fortes para os sistemas de informação, bem como a encarar as questões legais que podem surgir como resultado de brechas de segurança.
No entanto, antes de abordamos em linhas gerais como se pode estabelecer e manter um plano de resposta à incidentes, vamos entender antes o que este termo realmente significa.
Segundo o NIST (National Institute of Standards and Technology), um incidente é uma violação explícita ou uma ameaça iminente que compromete políticas de segurança, políticas de uso aceitáveis ou práticas de padrões de segurança. Todavia, é recomendável que cada organização defina nos seus próprios termos o que a palavra “incidente” deve significar para a instituição e delimitar o seu escopo e concentração de esforço.
Uma vez feito isso, a organização deve esboçar quais serviços a equipe de resposta à incidentes deve prover, definir sua estrutura, bem como seus papéis e responsabilidades.
Estabelecer políticas, processos e ferramentas é essencial para que se forme uma equipe de resposta à incidentes de segurança e para que seus membros saibam exatamente suas funções e façam tudo o que se espera deles.
Por outro lado, um plano de comunicação deve ser articulado entre a equipe de resposta à incidentes com demais partes interessadas dentro ou fora da organização para lidar com questões que envolvam agentes da lei, recursos humanos, relações públicas e a mídia.
Em posse destas informações, a organização poderá agora estruturar seu plano de resposta à incidentes, seguindo uma série de processos ou fases que são esboçados abaixo:
- Preparação - Durante esta etapa, estabelecem-se políticas, processos e ferramentas para tornar os sistemas de informação resilientes à ataques. Alocam-se igualmente pessoas, recursos e linhas de comunicação para encarar os incidentes que forem surgindo;
- Deteção e Análise - Incidentes de segurança são identificados, e, caso estejam em curso, são avaliados em termos de severidade e impacto aos ativos que requerem proteção. Partes interessadas (stakeholders) são notificados sobre os incidentes que ocorrem;
- Contenção - Nesta fase limitam-se o escopo e a magnitude do incidente. O objetivo principal é garantir a proteção dos ativos, enquanto esforços são canalizados para amenizar os impactos adversos;
- Erradicação - Uma vez o incidente seja contido, é hora de destruir ou eliminar a fonte que ocasionou a brecha de segurança, aplicando-se as devidas correções aos sistemas de informação afetados;
- Recuperação - Os sistemas devem ser reintegrados ao ambiente de produção ou à unidade de negócio de que fazem parte. Esta recuperação pode envolver restauração dos backups e testes de segurança; Este processo é iterativo e deve ser escrupulosamente observado durante todo o ciclo de vida de gerenciamento do incidente;
- Lições aprendidas (Post-Incident Activity) - Analisar os processos de resposta à incidentes e verificar se estes podem ser aperfeiçoados. É imperativo documentar os incidentes e as saídas (outputs) desta fase deverão alimentar indefinidamente as etapas de preparação para as próximas ocorrências, como ilustrado na figura abaxo.
As etapas do plano de resposta à incidentes, como retratadas na gravura acima, podem ser comparadas às medidas que as autoridades sanitárias de um país tomam para prevenir e combater a propagação de um surto dentro de uma área geográfica. Rapidamente ações são encetadas para reforçar o controlo em termos de condições médicas e medicamentosas, análises laboratoriais e estratégias para conter e erradicar a doença e, consequentemente ajudar os enfermos na sua recuperação. Adicionalmente, consegue-se extrair lições sobre o aparecimento e o controlo da doença, visando preparar o país para combater com eficiência e eficácia eventuais ocorrências que poderão comprometer a saúde pública.
Como se pode observar, elaborar um plano de resposta à incidentes requer muitas fases, incluindo estabelecer e treinar uma equipe, disponibilizar ferramentas e recursos.
Ademais, durante a fase de preparação, a organização pode tentar limitar o número de incidentes que forem ocorrendo e implementar controlos de segurança de acordo com as recomendações do relatório de avaliação de risco. No entanto, o risco residual inevitavelmente permanecerá, mesmo após estes controlos serem implementados.
Após a deteção e contenção de uma ameaça ou incidente, um relatório bem documentado deve ser emitido com informações sobre os incidentes, suas causas e custos para a instituição, bem como as medidas que esta tem de tomar para prevenir que estas ocorrências se verifiquem no futuro.
Portanto, concentrar esforços na elaboração de um programa de resposta à incidentes trará inúmeras vantagens para a organização à medida que reforçará a sua capacidade de defesa e postura de segurança em geral. Poderá também atender aos requisitos de conformidade no setor que atua junto dos reguladores da indústria e manterá a reputação da sua marca perante um mercado cada vez mais competitivo e exigente.