Cenários de exercícios de mesa para treinar tomada de decisão

Cenários de exercícios de mesa para treinar tomada de decisão

Em nosso último artigo, explicamos o que são os chamados “exercícios de mesa” ou “exercícios simulados” para planejar a reação e tomada de decisão frente a situações de crise na empresa. Então, agora você terá acesso a alguns exemplos de cenários para que possa se preparar e garantir uma tomada de decisão assertiva em resposta a cada tipo de crise possível.

exercícios de mesa

Exemplos de cenários de exercícios de mesa para tomada de decisão

Existem inúmeras situações capazes de desencadear uma grande crise em sua empresa, como por exemplo:

  • Um ataque de phishing que expõe uma vulnerabilidade de dia zero;
  • Detecção de ataque à cadeia de abastecimento;
  • Calcular um ataque crescente de ransomware;
  • Um funcionário insatisfeito causa um incêndio no data center;
  • Uma explosão em uma fábrica de produtos químicos próxima libera toxinas mortais;
  • Grave pandemia de gripe atinge todo o seu quadro funcional.

Como observamos acima, um cenário de mesa deve ser o mais próximo possível dos medos mais sombrios específicos de sua empresa. Dito isso, agrupamos alguns cenários potenciais propostos por especialistas para dar uma ideia de como eles podem funcionar. Observe como eles aumentam em escala. Como afirma Brett Wentworth, Diretor Sênior de Segurança Global da Lumen Technologies, o trabalho de um moderador de mesa consiste em “conduzir os participantes através de um cenário, deixando-os reagir de forma aberta, relatando suas ações – e, em seguida, tendo ‘injecções’ para adicionar mais bolas curvas antes da tomada de decisão. “

Cenário nº 1 – Um ataque de phishing expõe uma vulnerabilidade de dia zero

Wentworth descreveu o primeiro cenário, que começa com um ataque de phishing e escalona a partir daí.

Segmento 1: 

Um funcionário clica em um link em um e-mail solicitando que ele faça um treinamento obrigatório de conscientização de segurança e acaba inserindo suas credenciais no site para o qual o link leva. Em retrospecto, olhando para o e-mail, nota-se uma formatação estranha, um erro de ortografia e um banner indicando que o e-mail foi originado fora da organização. Contudo, o  computador já começou a funcionar mais lentamente, então, o funcionário segue os processos estabelecidos e entra em contato com a equipe de resposta a incidentes (RI). Agora, cabe aos funcionários que assumiram a função de RI descrever as etapas que executariam em resposta.

Segmento 2:

Nota-se uma conexão de um endereço IP na Europa Oriental para o site vinculado no e-mail de phishing. Este host também estava aparentemente escaneando internamente em busca de um protocolo associado ao pacote de software comumente usado (daremos a ele o nome falso Acme123) e interagiu com os servidores que o executam.

Segmento 3:

O tráfego que se encaixa no padrão de retornos de chamada de malware é visto se comunicando de um servidor Acme123 com outro IP localizado na Ásia. De repente, surgem notícias da indústria sobre uma vulnerabilidade de dia zero do Acme123.

Segmento 4:

Um servidor mostra que havia sinais de um novo malware explorando o dia zero, mas não está claro se os dados foram exfiltrados. Então, neste ponto, as equipes devem se comprometer com a perícia, notificar os funcionários, entrar em contato com a aplicação da lei e os clientes afetados e atualizar os executivos.

Cenário 2 – Detecção de ataque à cadeia de abastecimento

Neste cenário, Drier e Lelewski da Secureworks, descreve um ataque que lembra o recente hack de alto perfil do SolarWinds.

Segmento 1: 

O departamento de vendas de uma organização-alvo adquiriu uma nova ferramenta de software de rastreamento de leads. Ele é instalado localmente em uma máquina virtual fornecida pelo prestador. No entanto, a aquisição ignorou o processo de devida diligência do fornecedor e a instalação foi aprovada pela liderança de vendas. Nas semanas seguintes à sua implantação, há um aumento no número de usuários que enviam tíquetes de problemas por causa de contas bloqueadas devido a falhas de senha. Além disso, são gerados alguns alertas na atividade codificada do PowerShell em várias estações de trabalho.

Segmento 2: 

Um analista de segurança da equipe observa que vários gigabytes de dados criptografados foram enviados a um VPS hospedado na Rússia. Em paralelo, alertas adicionais estão surgindo, observando ferramentas como Mimikatz e Secretsdump. Então, um arquivo denominado exfil.zip foi encontrado com um carimbo de data / hora recente, no mesmo compartilhamento que a equipe de P&D crítica para os negócios usa.

Segmento 3: 

Surge uma notícia, detalhando que a ferramenta de rastreamento de leads foi comprometida por atores estrangeiros do Estado e contém uma porta dos fundos que usa um algoritmo de geração de domínio para estabelecer o comando e controle sobre a porta de saída 443.Inclusive, a história detalha que os atores da ameaça procuram informações de seu setor vertical específico e não são afiliados à implantação de ransomware.

Cenário 3 – Calculando com um ataque de ransomware crescente

Este cenário de exemplo vem de Yu da JupiterOne. Ele descreve um ataque de ransomware que começa mal e fica pior.

Segmento 1: 

A empresa é atingida por um evento de ransomware padrão que afeta a maioria dos sistemas corporativos, com uma demanda de 1% da receita anual da empresa a ser paga em 48 horas. (Lembre-se que, para que haja uma ideia de tomada de decisão assertiva, o cenário deve exigir uma decisão sobre esta demanda dentro do prazo alocado para este segmento)

Segmento 2: 

Independentemente da decisão sobre o Segmento 1, o invasor de ransomware aumenta com a liberação pública de conteúdo roubado confidencial e uma ameaça de divulgação, a menos que a empresa pague (ou pague novamente, conforme o caso).

Segmento 3: 

Descobre-se que o hacker aproveitou as informações do conteúdo que roubou para atacar os clientes da empresa, resultando em violações materiais para essas organizações.

Segmento 4: 

Uma agência governamental relevante inicia uma investigação porque, ao que parece, o invasor do ransomware está sob sanções do Escritório de Controle de Ativos Estrangeiros dos Estados Unidos. Isso enreda a empresa, já em meio a uma crise de negócios, em um drama internacional onde os acontecimentos fogem ainda mais ao seu controle.

Cenário 4 – Um funcionário insatisfeito inicia um incêndio no data center

Este cenário é baseado na sugestão de Rad Jones, especialista acadêmico da Escola de Justiça Criminal da Michigan State University e ex-diretor de segurança e proteção contra incêndio da Ford Motor.

Segmento 1: 

Um pequeno incêndio começa fora do data center, disparando o sistema de alarme. Quando o corpo de bombeiros chega, o incêndio já foi extinto pelo sistema de sprinklers, contudo, o prédio foi evacuado. Funcionários e pessoas que trabalham em prédios próximos querem saber o que aconteceu, assim como a mídia. Então, quando as pessoas começam a voltar para dentro, a recepcionista atende um telefonema de alguém que indica que o incêndio é “apenas o começo” porque a empresa não o tratou direito.

Segmento 2: 

Um funcionário descobre uma caixa no saguão com um aviso escrito à mão de que contém antraz. A gerência decide evacuar o prédio novamente. Recebem ligações de familiares preocupados e chegam equipes de TV locais. Enquanto isso, os sprinklers no data center fizeram com que os servidores de e-mail e web da empresa parassem de funcionar, o que significa que o site de e-commerce da empresa está fora do ar.

Segmento 3: 

Uma mulher liga para o jornal alegando ser a esposa de um funcionário que acabou de ser demitido e que deixou impressos sobre o antraz espalhados em seu escritório residencial. O jornal liga para a empresa com essa informação. O departamento de saúde está em cena. O call center da empresa (em outro local) está lotado com ligações de clientes que não podem fazer pedidos no site.

Segmento 4: 

A polícia prende um suspeito. O departamento de saúde determina que a caixa não continha antraz e que o prédio é seguro. No entanto, ainda assim, alguns funcionários têm medo de voltar ao trabalho.

Cenário 5 – Uma explosão em uma fábrica de produtos químicos próxima libera toxinas mortais

Este cenário é baseado em uma sugestão de Mike Paszynsky, diretor de segurança corporativa da PSE&G, um serviço público Fortune 500 com sede em Newark, N.J.

Segmento 1: 

Uma fábrica de produtos químicos explode a três quilômetros da sede da empresa. A mídia local está relatando que um número indeterminado de funcionários da empresa química foi ferido ou morto, e as autoridades estão tentando determinar até que ponto as toxinas mortais foram lançadas no ar. Ninguém sabe ao certo o que causou a explosão.

Segmento 2: 

Os hospitais da região estão lotados de pessoas que relatam dificuldades para respirar, e as autoridades de saúde pública estão incentivando as pessoas em toda a cidade a “abrigar-se no local” como precaução. A sede está atualmente a favor da explosão. A empresa precisa decidir o que dizer a seus funcionários, contudo, não tem certeza se tem o direito legal de dizer às pessoas para não irem embora. As pessoas estão especulando que terroristas causaram a explosão.

Segmento 3: 

A empresa orienta os funcionários a não saírem do prédio, mas muitos o fazem mesmo assim, dizendo que não confiam no que estão ouvindo e que precisam voltar para casa e cuidar da família. Os seguranças da porta da frente também querem saber o que dizer às pessoas na rua que desejam se abrigar no saguão da empresa. O refeitório informa que já esgotou os almoços.

Segmento 4: 

O perigo imediato passa e as autoridades dizem que a explosão foi um acidente. Vários funcionários são hospitalizados. Entretanto, outros estão chateados porque o refeitório da empresa não tinha mais suprimentos em mãos.

Cenário 6: Chegada de uma gripe pandêmica força a tomada de decisão

Este cenário é baseado em uma sugestão de Joe Flach, VP da Eagle Rock Alliance, uma empresa de consultoria de continuidade de negócios em West Orange, N.J.

Segmento 1: 

Uma pandemia de gripe começa a adoecer e matar pessoas em Hong Kong, onde a empresa não tem operações. A comunidade médica teme que a doença se espalhe para outros continentes e diz que qualquer pessoa que tenha estado em Hong Kong nas últimas três semanas pode ser portadora. Como medida de precaução, a empresa considera pedir aos funcionários que viajaram para Hong Kong nas últimas três semanas que não voltem ao trabalho antes de consultar um médico. A empresa também considera que a segurança na porta da frente pergunte a cada visitante se ele ou ela esteve em Hong Kong nas últimas três semanas.

Segmento 2: 

Algumas pessoas na região são diagnosticadas com a doença e a taxa de absenteísmo nas escolas aumenta. Os funcionários começam a ligar dizendo que estão doentes, mas não está claro se eles estão doentes ou com medo de sair em público. Há tanta gente ausente que a empresa se esforça para manter os sistemas em funcionamento, receber pedidos e pagar contas.

Segmento 3: 

A doença se espalha e as taxas de absenteísmo chegam a quase 50%. Alguns funcionários estão doentes ou cuidando de familiares doentes. Os funcionários estão pedindo à empresa que forneça desinfetante para as mãos e máscaras, embora a comunidade médica diga que essas precauções podem não ser eficazes. As funções críticas não estão sendo realizadas. Os gerentes pensam em fechar escritórios e pedir a todos que trabalhem em casa até que o perigo passe.

Segmento 4: 

A doença atingiu o pico, mas muitos funcionários ainda estão receosos de voltar ao trabalho.

Enfim, esses são apenas alguns dos cenários possíveis capazes de prejudicar os negócios de uma empresa. O intuito aqui é apenas fornecer ideias para que você desenvolva sua própria gama de cenários possíveis de acordo com a realidade da sua empresa. Afinal, somente assim poderá se precaver e investir em um processo de tomada de decisão realmente assertivo e eficaz quando necessário.

Alternativa

Você pode contar com o apoio de uma empresa de TI especializada em segurança para garantir uma maior nível de proteção, tal como de recuperação após qualquer tipo de desastre e auxílio na tomada de decisão.

Sobre a Infonova

A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.

A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.

Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.

Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI.  Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.

Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a segurança e auxílio na tomada de decisão..

Perfil Infonova

A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:

  • Atendimento por demanda;
  • Disponibilização de equipes com 1 técnico local e retaguarda especializada; 
  • Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores

O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança. 

Soluções

Como a empresa de TI completa que é, a Infonova tem soluções voltadas para PMEs, Governo e Corporate. Todas compreendem modelos flexíveis com início rápido e transição sem dor.

Para saber mais sobre os serviços da Infonova e como ela pode auxiliar sua tomada de decisão, entre em contato pelo (11) 2246-2875 ou clique aqui.

Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.

Fonte:

CSO

Facebook
Twitter
LinkedIn

posts relacionados

O que é SGSI?

SGSI é a sigla para Sistema de gestão de segurança da informação. Ele engloba: Segurança da informação: Preservação da confidencialidade,

Leia mais »
SOC

Guia completo de SOC

Embora a defesa cibernética seja um tema extremamente aprofundado, existem certas mentalidades, modelos, fontes de dados e técnicas que podem

Leia mais »

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA