Levando em consideração esse cenário ameaçador, um plano adequado de resposta a incidentes é, portanto, fundamental para minimizar o impacto de uma violação, mas 77% das organizações não têm um plano de resposta para utilizar caso uma violação venha a ocorrer, de com um relatório recente da NTT Group. Isso levanta a seguinte questão: você está preparado para gerenciar um incidente de segurança?
Mudanças de Plano
Com incidentes aumentando em freqüência, as empresas estão gastando mais tempo e dinheiro em remediação - muitas vezes trabalhando no olho de uma tempestade corporativo para resolver problemas, ao mesmo tempo que tenta manter um ambiente "business as usual". Ameaças complexas como APT (Advanced Persistents Threats), são difíceis de lidar e podem exigir conhecimentos e recursos especializados para mitigação, de forma abrangente. O problema é que as empresas estão voltando os olhos para a importância de se definir, além de um plano de resposta a incidentes.
Em face disso, é hora das empresas tratarem as violações de segurança da informação como parte de seu planejamento de continuidade de negócios, o que significa gerenciar, com confiança, quaisquer incidentes que vierem a ocorrer no ambiente corporativo. Por ter um plano bem definido e reconhecendo que os incidentes de segurança podem acontecer, as organizações estarão melhor preparadas para lidar com incidentes, de forma eficaz e consistente.
Além disso, qualquer empresa que sofre uma violação certamente não gostaria de repetir tal experiência e, através da melhoria da maturidade de seu plano de resposta a incidentes, que irá reduzir o risco de futuros incidentes, irá também reduzir o impacto financeiro e de reputação no negócio.
Plano de Respostas a Incidentes
Um plano de resposta a incidentes é um processo formal, que define o que constitui um incidente e fornece orientações passo-a-passo sobre como lidar com um ataque futuro. A fim de limitar os danos e reduzir o tempo de recuperação e os custos, ele precisa ser mantido up-to-date e, em seguida, socializado entre todas as partes envolvidas. Além disso, os testes a serem realizados devem ser aplicados regularmente, de modo que as pessoas entendam seus papéis e responsabilidades.
Sucesso nas Respostas a Incidentes, Boa Percepção de Risco e Compreensão dos Ativos de Informação
Nem todos os incidentes são de igual impacto, e dessa forma, cada empresa deve ser capaz de classificar suas ocorrências em um determinado de nível de gravidade. Isto pode ser feito através da criação de uma visão em tempo real e abrangente da atividade da rede, o que permitirá a uma equipe de TI, reconhecer rapidamente que a sua empresa está sob um ataque - e, em seguida, implementar um plano bastante objetivo para a ação corretiva apropriada.
Além do mais, as respostas a incidentes devem ser concebidas com os objetivos da organização e requisitos de conformidade na vanguarda. A inteligência sobre o impacto de qualquer incidente, irá conduzir uma resposta proporcionada e concentrar os recursos para minimizar os danos e ruptura causados pelo evento. Desta forma, as pessoas afetadas serão capazes de retomar o negócio o mais rápido possível e sem que haja problemas.
Em última análise, o caminho para uma melhor preparação é a construção de um plano muito bem estruturado, que articula claramente a aproximação, os benefícios e medidas para a redução do risco da aplicação. Com uma compreensão clara da infra-estrutura de negócios e da tecnologia, uma equipe de TI pode executar um processo de investigação forense voltado para esses incidentes, fornecendo a capacidade de gerenciá-los e entregar um resumo do relatório pós incidente e as devidas recomendações.
O Papel do Compliance
É vital para entender onde as questões de compliance se encaixam nos processo de respostas a incidentes de uma empresa, e colocar em prática um procedimento claro para satisfazer as obrigações específicas de comunicação de incidentes. Isso significa saber quando e como notificar a aplicação da lei ou órgãos reguladores específicos da indústria e para as empresas multinacionais, acompanhando as variações regionais, as leis de privacidade e complexos requisitos de notificação.
Há uma grande necessidade de estabelecer políticas para compartilhar com outras partes do negócio afetados por uma ação de cracker - se equipes de serviços de relações públicas, de continuidade de negócios, ou de risco dos clientes - forem, portanto, cruciais. Embora nem sempre seja essencial compartilhar informações sobre a ocorrência de uma ruptura com os clientes e parceiros da empresa, será necessário definir e comunicar uma política internamente. Tudo isso depende da natureza do incidente, e o quão cedo a equipe de TI poderá compreender e comunicar o que é e quais são as medidas corretivas que estão sendo tomadas.
Surgimento de Falhas de Segurança e Resposta Rápida a Incidentes Registrados
Como as falhas de segurança resultam naturalmente a partir de algumas percepções, as organizações devem aproveitar a colaboração interna para alimentar o processo de resposta a incidentes. Há um valor real usando exercícios de alta visibilidade, tais como comunicação de resposta rápida, que envolve a simulação de incidentes potenciais para melhorar a sensibilização e definir papéis e responsabilidades para além das equipes de segurança da informação. Como resultado, as organizações, muitas vezes, veem um elevado senso de responsabilidade comum para que haja uma resolução eficaz.
Atitudes Drásticas Requerem Trabalho em Conjunto
Resposta a incidentes maduras, ou seja, iniciativas que irão remediar uma ocorrência danosa, não significa necessariamente gastar mais em tecnologia. A maioria das organizações já tem no local a tecnologia que eles precisam, e isso inclui a prevenção de perda de dados, as defesas de perímetro e gerenciamento de log. Nesses casos, o que muitas vezes é necessário é um fornecedor de confiança para ajudá-los a implementar um plano de resposta a incidentes, desenvolvendo o processo e fazendo com que as pessoas respondam, de maneira eficaz, a um incidente. Isso pode envolver um trabalho com os clientes para estabelecer quais são as competências que eles já têm, o que eles precisam fazer em casos de violação, e onde eles iriam pedir ajuda.
A vantagem da terceirização, é que ela fornece e aumenta as habilidades internas de uma organização e permite que essa corporação possa concentrar-se na construção e no desenvolvimento de seus negócios, enquanto o contratante fornece as informações sobre os riscos que precisam ser entendidos, priorizados e gerenciados, além de tomar decisões sensatas.
Se uma empresa sem capacidade interna sofre um incidente, um fornecedor de confiança implantado, seria fundamental no desenvolvimento de seu plano de resposta a incidentes. A consultoria pode envolver:
Estabelecer a capacidade de gerenciamento de incidentes - isso porque os manipuladores de incidentes e analistas técnicos, determinam a estrutura do processo de lidar com o incidente em nome do cliente.
Análise Forense e Mitigação do Incidente - profissionais passam a investigar, identificar, analisar e conter a causa do incidente.
Fornecimento da resolução de incidentes - equipe de resposta rápida fornece apoio e orientação para o cliente para resolver o incidente.
Resumo do incidente - fornecedora confiável corrige o incidente, e arma um plano de contenção para proteger o local afetado.
Cumprindo relatório sobre o incidente e roadmap - equipe de suporte fornece relatório pós incidente, junto com um roteiro tático de recomendações e orientações para reduzir os riscos futuros.
Da Reatividade à Proatividade
É evidente que a mais rápida resposta a incidentes, mais eficiente, irá minimizar o impacto e o custo de um incidente além de proteger os dados de uma empresa. Ao impor uma equipe de resposta dedicada e maximizar o valor dos investimentos em tecnologias existentes, todas as empresas podem planejar e executar bem uma estratégia de resposta a incidentes que já ocorreram e ocasionaram alguns estragos.
Afinal, se é uma empresa que é alvo de ataques, você vai querer ver o retorno mais rápido e mais eficiente para os negócios como de costume. Por isso, é melhor adotar medidas fortes e preventivas, que coibam a ação dos cyberciminosos, do que ter que enfrentar os transtornos ocasionados por esses elementos nefastos, com a implementação de medidas corretivas, o que certamente, dá muito mais trabalho.
Saiba Mais:
[1] Net Securityhttp://www.net-security.org/article.php?id=2036&p=2