6 passos para criar um plano efetivo de respostas a incidentes

Ter um plano de respostas a incidentes parece óbvio e necessário – mas para algumas empresas esse ponto ainda é uma espécie de “calcanhar de Aquiles”. Na realidade, esse tipo de planejamento é o “salvo-conduto” da empresa quando uma brecha de segurança é descoberta – e, para isso, é preciso dedicar tempo e recursos para minimizar o estrago e o custo da recuperação.

Equipes mais sofisticadas criam uma equipe específica para a gestão desses incidentes, o CSIRT (Computer Security Incident Response Team, na sigla em inglês). Espero, que a esta altura do campeonato, a sua empresa também tenha um plano de gestão a incidentes, certo?

A importância da resposta a incidentes

Se você trabalha com segurança de dados, certamente incidentes de segurança acontecem diariamente. Ocasionalmente, um pequeno incidente pode se tornar uma situação real de pânico dentro da empresa. Quando isso acontece, o time que deve lidar com isso sabe o que fazer? Será que cada integrante da equipe de TI ou do CSIRT sabe exatamente o que fazer nesses casos? Sem um plano, não há garantias de que o time vai conseguir responder de maneira apropriada a qualquer incidente de TI – afinal de contas, no planejamento devem constar passos importantes, e define como identificar, conter e gerenciar incidentes de segurança.

O impacto da falta de planejamento pode ser realmente grande. Na Europa, o GDPR já obriga as empresas a reportarem incidentes de segurança dentro de 72 horas após a sua descoberta. No Brasil, a LGPD, que deve entrar em vigor em março de 2020, também obriga as empresas a prestar contas sobre vazamentos de informações.

Seis passos para a criação de um plano de incidentes de sucesso

No passado, o SANS Institute criou um manual com seis passos para a criação de um plano efetivo de incidentes que pode ser usado como um embrião para a construção de um plano específico para sua empresa. Conheça quais são:

Preparação: O primeiro passo é definir um guia passo-a-passo de como o CSIRT deve lidar com um incidente de segurança, incluindo documentação de incidentes e comunicações internas e externas.

Para isso, é importante definir uma política de segurança corporativa – o que inclui o uso aceitável dos dados corporativos, quais as consequências para violações de segurança e como definir o que é um incidente de segurança.

Identificação: Defina quais critérios ativam o CSIRT. Pode ser algo aleatório como “encontrar uma unidade USB aleatória no chão”, ou um “ataque de força bruta detectado”, que aciona o plano de respostas a incidentes. Também pode ser um conjunto cumulativo de circunstâncias que acionam o plano: por exemplo, um alerta de acesso anormal junto a um alerta de um upload incomum na mesma hora pode ser um gatilho de ativação do plano.

Contenção: Contenha a ameaça. Existem dois tipos de contenção: longa e curta. A contenção de curto prazo é uma resposta imediata, impedindo que a ameaça se espalhe e causando mais danos. A contenção a longo prazo inclui a devolução de todos os sistemas à produção para permitir a operação comercial padrão, mas sem as contas e backdoors que permitiram a intrusão.

Erradicação: Estabeleça um processo para restaurar todos os sistemas afetados. Um bom ponto de partida é recriar todos os sistemas envolvidos no incidente e remover quaisquer vestígios do incidente de segurança. Atualize seus sistemas de defesa para evitar que o mesmo tipo de incidente de segurança ocorra novamente.

Recuperação: Determine como trazer todos os sistemas de volta à produção completa depois de verificar se estão limpos e livres de qualquer inconveniência que possa levar a um novo incidente de segurança.

Passado o incidente, é preciso fazer um balanço dos resultados e também das ações tomadas. Também é importante refazer as avaliações de vulnerabilidades e riscos, e fechar quaisquer outras brechas de segurança.

*Carlos Rodrigues é VP Latam da Varonis