Você quer aumentar a capacidade de sua empresa de combater ameaças à segurança cibernética? Então, aprenda o essencial para criar um plano de resposta a incidentes (IRP) e previna-se.
Dado o estado atual da segurança cibernética é mais importante do que nunca criar um plano de resposta a incidentes. Isso, além de um plano de recuperação de desastres de tecnologia.
Portanto, ao lidar com os vários tipos de incidentes que afetam a TI de uma empresa a cada dia, é essencial ter processos para analisar incidentes e tomar decisões informadas sobre como respondê-los e mitigá-los. No entanto, também é desejável ter uma política de resposta a incidentes para complementar os procedimentos de resposta a incidentes, conforme definido em um plano de IR. Afinal, vale lembrar que isso também é importante do ponto de vista da auditoria.
Aliás, um modelo de plano de resposta a incidentes (IRP) pode ajudar as organizações a delinear instruções que ajudam a detectar, responder e limitar os efeitos dos incidentes de segurança cibernética. Os tipos de incidentes em que um IRP entra em ação incluem:
- Violações de dados;
- Ataques de negação de serviço;
- Violações de firewall;
- Vírus;
- Malware;
- Ameaças internas.
Esses tipos de incidentes não são necessariamente desastres sérios, contudo, podem rapidamente se transformar em um. Especialmente se não forem respondidos rapidamente e tratados adequadamente. Na verdade, esses incidentes de segurança cibernética costumam ser o primeiro passo para detectar um desastre. Então, quando ocorre uma tentativa de violação da rede da empresa ou outra condição anormal, ela deve ser detectada, reconhecida e analisada o mais rápido possível. Afinal, é assim que você irá determinar sua natureza e gravidade. Em seguida, você precisa responder de forma apropriada a limitar os efeitos na organização e, em última análise, por fim a qualquer possível interrupção das operações da empresa.
Avaliando o escopo de um incidente
Ao considerar se uma situação é um incidente ou desastre, uma boa regra é avaliar a gravidade do evento e a probabilidade de ele terminar rapidamente. Então, para criar um plano de resposta a incidentes, use os resultados de uma análise de risco. Entretanto, estabeleça métricas com antecedência que identifiquem:
- Incidentes específico;
- As ameaças postadas por cada um;
- A probabilidade de que possam aumentar;
- Os danos potenciais. É o caso de problemas operacionais, financeiros e de reputação, tal como em que podem resultar.
Afinal, um incidente é um evento que pode ser, ou pode levar a uma interrupção, perda ou crise de negócios. Por exemplo, um incidente pode ser algo tão simples como um cano com vazamento. no entanto, se o cano estourar, a situação pode rapidamente se transformar em um desastre. Ou seja, a introdução de um vírus em uma rede seria inicialmente tratada como um incidente de segurança cibernética. Afinal, supõe-se que pode ser resolvido rapidamente com várias ferramentas de software e técnicas de segurança. No entanto, se o vírus provar ser um grande ataque de negação de serviço ou ransomware, o incidente pode rapidamente se tornar um desastre. Principalmente se o negócio for interrompido.
Felizmente, neste guia você vai aprender a criar um plano de resposta a incidentes (IRP) e o que precisa ser incluído.
O que é um plano de resposta a incidentes?
Para criar um plano de resposta a incidentes (IRP) é preciso entender seu propósito real. Portanto, saiba que se trata de um método organizado de endereçamento e gerenciamento de eventos de segurança. Os IRPs às vezes são chamados de planos de gerenciamento de incidentes ou planos de gerenciamento de emergência. Contudo, qualquer um dos termos é aceitável, desde que a composição do plano seja consistente com as boas práticas de resposta a incidentes. Afinal, os planos de resposta a incidentes de segurança são exigidos por vários órgãos reguladores e de certificação, como o PCI DSS.
A imagem abaixo mostra uma linha do tempo de um incidente e como as atividades de resposta a incidentes se encaixam no processo geral de gerenciamento de eventos.
Por que criar plano de resposta a incidentes (IRP) é importante?
Conforme mencionado, criar um plano de resposta a incidentes (IRP) ajuda a reduzir os efeitos de eventos de segurança em potencial. Afinal, ele limita os danos operacionais, financeiros e de reputação. No entanto, ele também deve apresentar:
- Definições de incidentes;
- Requisitos de escalonamento;
- Responsabilidades de pessoal;
- Principais etapas a serem seguidas;
- Pessoas a serem contatadas em caso de um incidente.
Na prática, um IRP estabelece a organização recomendada, ações e procedimentos necessários para fazer o seguinte:
- Reconhecer e responder a um incidente;
- Avaliar a situação de forma rápida e eficaz;
- Notificar os indivíduos e organizações apropriados sobre o incidente;
- Organizar a resposta de uma empresa, incluindo a ativação de um centro de comando;
- Escalar os esforços de resposta da empresa com base na gravidade do incidente;
- Apoiar os esforços de recuperação de negócios que estão sendo feitos após o incidente.
Quais são os benefícios de se criar um plano de resposta a incidentes (IRP)?
Os benefícios de criar um plano de resposta a incidentes (IRP) bem elaborado são numerosos. Contudo, confira alguns dos principais a seguir:
Resposta mais rápida a incidentes
Um IRP garante que uma organização use sua avaliação de risco e atividades para detectar os primeiros sinais de que um incidente ou ataque está para acontecer ou está acontecendo. No entanto, ele também ajuda as organizações a seguir o protocolo adequado para conter e se recuperar de uma ameaça.
Mitigação precoce de ameaças
Na prática, uma equipe de resposta a incidentes bem organizada com um plano de resposta detalhado pode mitigar o efeito potencial de situações não planejadas. Ou seja, criar um plano de resposta a incidentes pode acelerar a análise forense, minimizando a duração de um incidente de segurança e encurtando o tempo de recuperação. O efeito geral pode ser a contenção de danos operacionais, financeiros e até mesmo à reputação.
Prevenção de lançamento de plano de DR
O tratamento rápido de incidentes, juntamente com ações bem ensaiadas, muitas vezes pode evitar que uma organização invoque planos mais complexos e caros de continuidade de negócios e recuperação de desastres (BCDR). No entanto, além de ajudar a empresa a voltar ao normal rapidamente, um IRP pode minimizar a publicidade negativa que pode afetar a reputação e a posição competitiva da empresa.
Os planos de resposta a incidentes são normalmente ativados quando um gerente de incidentes local, ou outro funcionário devidamente treinado, determina que um incidente, ou condição fora do normal, ocorreu. Entretanto, essa ação geralmente precede atividades mais detalhadas, como o uso de planos BCDR. Então, se olharmos para uma linha do tempo para um desastre, conforme ilustrado na figura abaixo, vemos que o gerenciamento de incidentes costuma ser a primeira resposta e o link para as ações de recuperação de negócios subsequentes.
Boa continuidade de negócios
Essa prática, adotada por organizações como o Business Continuity Institute e o Disaster Recovery Institute International, inclui o planejamento de resposta a incidentes como uma parte fundamental do processo geral de gerenciamento de BC.
Melhor comunicação para ação mais rápida
Haverá situações em que a gravidade de um incidente estará além das capacidades de uma equipe de resposta a incidentes. Então, nesses cenários, a equipe de RI deve transmitir as informações que conhece às equipes de gerenciamento de emergência e organizações de primeiros socorros para tentar resolver o incidente. No entanto, se a situação causar danos físicos a um edifício ou danos graves aos sistemas críticos de negócios, a equipe deve se deslocar para um local alternativo e os planos de BCDR devem ser ativados.
Principais considerações para criar um plano de resposta a incidentes (IRP)
Aqui estão alguns pontos-chave que você deve ter em mente ao criar um plano de resposta a incidentes (IRP):
O suporte da alta administração é essencial
Sem o suporte da alta administração, você não será capaz de criar um bom plano de resposta a de incidentes e garantir uma equipe bem treinada para implementá-lo.
Mantenha o plano simples
Um IRP bem organizado e passo a passo, com informações relevantes ao seu alcance, o ajudará a superar a maioria das situações.
Comunique-se regularmente sobre o status do incidente
Forneça os fatos relevantes à medida que estiverem disponíveis, incluindo atualizações das políticas de uso aceitável. Contudo, não deixe de divulgá-los rapidamente. Além disso, acompanhe regularmente, mantenha as partes relevantes informadas e corrija informações incorretas.
Revise e teste
Assim que um plano de resposta a incidentes estiver completo, ele deve ser revisado e testado. Você pode fazer isso por meio de um exercício de mesa, por exemplo. Se não sabe como estes funcionam, clique aqui e descubra. Afinal, somente testando você poderá garantir que os procedimentos documentados fazem sentido e que a equipe está treinada e equipada para responder de acordo com o plano.
Seja flexível
Um IRP deve ter flexibilidade embutida para se adaptar a uma variedade de situações. Ou seja, isso inclui quem está na equipe e acesso a recursos para mitigar o incidente.
Componentes de um plano de resposta a incidentes
Um plano de resposta a incidentes deve identificar e descrever as funções e responsabilidades dos membros da equipe de resposta a incidentes. Estes, por sua vez, devem manter o plano atualizado, testá-lo regularmente e colocá-lo em ação. No entanto, o plano também deve especificar as ferramentas, tecnologias e recursos físicos que devem estar disponíveis para recuperar sistemas danificados e dados comprometidos, danificados ou perdidos. Além disso, ele também deve definir critérios para envolver planos de BCDR se a gravidade do incidente aumentar.
De acordo com o NIST, existem seis partes em um plano de resposta a incidentes:
1. Preparação. Treine os usuários e a equipe de TI para lidar com possíveis incidentes, caso eles ocorram.
2. Identificação. Determine se um evento é realmente um incidente de segurança.
3. Contenção. Limite os danos do incidente e isole os sistemas afetados para evitar mais danos.
4. Erradicação. Encontre a causa do incidente e remova os sistemas afetados do ambiente de produção.
5. Recuperação. Permita que os sistemas afetados voltem ao ambiente de produção e garanta que nenhuma ameaça permaneça.
6. Lições aprendidas. Documente o incidente e analise como aconteceu para que a equipe possa aprender com ele e melhorar os esforços de resposta futuros.
Principais partes interessadas nos planos de resposta a incidentes
Criar um plano de resposta a incidentes (IRP) normalmente requer a formação de uma equipe de resposta a incidentes de segurança do computador (CSIRT). Esta é responsável por manter o plano de resposta a incidentes. Portanto, os membros do CSIRT devem estar bem informados sobre o plano e garantir que ele seja testado e aprovado regularmente pela gerência.
Entretanto, certifique-se de revisar o plano de resposta a incidentes com as várias áreas internas. É o caso do gerenciamento de instalações, jurídico, gerenciamento de risco e unidades operacionais importantes.
Vale ressaltar que a equipe de resposta deve incluir equipe técnica com experiência em plataforma e aplicativo. Contudo, também deve haver especialistas em infraestrutura e rede, bem como administradores de sistemas e pessoas com uma variedade de especialização em segurança.
Do lado da gestão, a equipe deve incluir um coordenador de incidentes. No entanto, ele deve ser perito em fazer com que os membros da equipe com diferentes perspectivas, agendas e objetivos trabalhem em direção a metas comuns. Não obstante, também deve haver um membro da equipe encarregado de lidar com a comunicação de e para a gerência. Contudo, essa função requer uma pessoa com habilidade em traduzir questões técnicas para o idioma da empresa e vice-versa.
Vários proprietários de dados e gerentes de processos de negócios em toda a organização devem fazer parte do CSIRT. Caso não seja possível, eles devem, ao menos, trabalhar em estreita colaboração com ele e contribuir para criar o plano de resposta a incidentes (IRP). Representantes de partes da empresa que lidam com o cliente, como vendas e atendimento ao cliente, também devem fazer parte do CSIRT. E, dependendo das obrigações regulatórias e de conformidade da empresa, as relações jurídicas e públicas também devem ser incluídas.
Como desenvolver um plano de resposta a incidentes?
O desenvolvimento e implementação de um plano de resposta a incidentes de segurança cibernética envolve várias etapas. No entanto, a ordem em que uma organização conclui essas etapas depende de uma série de variáveis. Essas variações incluem suas vulnerabilidades de segurança cibernética específicas e necessidades de conformidade regulatória. Contudo, um plano de resposta a incidentes sólido depende de certos fundamentos. São eles:
- Política, definição e escopo. Ou seja, uma representação esquemática do processo com informações importantes;
- Relatórios de incidentes. Trata-se dos primeiros socorros e composição da equipe de incidentes, como nomes, detalhes de contato, funções e responsabilidades dentro da equipe;
- Avaliação de incidentes, incluindo se a coleta de evidências forenses é necessária;
- Contra-medidas contra incidentes. Ou seja, isolamento de servidor / estação de trabalho / rede; tal como invocar um plano de recuperação de desastre ou plano de continuidade de negócios; coleta de evidências; e gerenciamento de relatórios da mídia e relações públicas, envolvendo partes externas conforme necessário, incluindo policiais e investigadores forenses;
- Identificação de ações corretivas. Trata-se de uma análise detalhada do incidente, projeto e plano orçamentário para implementar ações corretivas. Então, pode incluir a política e os procedimentos da empresa, treinamento, hardware, software, etc;
- Monitorar as ações corretivas até o ponto em que a equipe do incidente acredita que o incidente pode ser encerrado. Um relatório deve então ser preparado para arquivo e um relatório resumido preparado para distribuição aos gerentes seniores e ao conselho.
Como testar um plano de resposta a incidentes (IRP)?
Testar os processos descritos em um modelo de plano de resposta a incidentes é fundamental. Afinal, as empresas não devem esperar até um incidente real para descobrir se o IRP funciona. Portanto, os planos de resposta a incidentes devem ser reavaliados e validados anualmente, no mínimo. Contudo, eles também devem ser revisados sempre que forem feitas alterações na infraestrutura de TI da empresa ou em sua estrutura de negócios, regulatória ou de conformidade.
As empresas que enfrentam ataques regularmente podem sentir que têm menos necessidade de testar seus planos de resposta a incidentes. No entanto, defender-se contra um ou dois tipos de ataque regularmente não garante que uma organização esteja pronta para o terceiro ou quarto tipo de ataque.