Criar um incident response plan é crucial para proteger sua organização contra ameaças de cibersegurança. Um plano bem estruturado garante que você possa responder rapidamente e efetivamente aos incidentes, minimizando danos e tempo de inatividade. Este guia irá orientá-lo pelos passos essenciais para desenvolver um incident response plan robusto adaptado às necessidades específicas de sua organização.
Sofrer um incidente de segurança da informação não é algo por que ninguém queira passar, mas infelizmente lidar com um incidente de segurança é um caso de quando e não de se. As organizações que sofrem um incidente de cibersegurança não estão certamente sozinhas. De acordo com o Fórum Económico Mundial (WEF), a cibersegurança é um dos riscos mais urgentes para a economia global. No entanto, o relatório salienta o facto de que, através de esforços multilaterais, o impacto de um ciberataque pode ser atenuado.
"Resposta colaborativa a incidentes e esforços de partilha de informação tentam centralizar as capacidades de segurança cibernética para reduzir o impacto dos ciberataques".
Um Plano de Resposta a Incidentes é um desses esforços. Aqui está uma visão geral do porquê de precisar de um e do que está envolvido na criação de um Plano de Resposta a Incidentes.
Porque precisamos de um plano de resposta a incidentes?
O "Cyber Security Breaches Survey 2021" do governo britânico concluiu que 27% das empresas britânicas sofreram uma quebra de dados e são atacadas pelo menos uma vez por semana, com 39% a perder dinheiro e/ou activos. A gestão desta investida de ameaças cibernéticas precisa do forte enfoque de um Plano de Resposta a Incidentes. Este plano fornece um modelo de como responder eficazmente quando ocorre um incidente de segurança, tal como malware, resgates e acesso não autorizado.
As violações de dados raramente se realizam de repente: o relatório "Cost of a Data Breach 2020" da IBM assinala que em 2019 foram necessários, em média, 207 dias para identificar uma violação de dados e depois 73 dias para a conter; trata-se de um "ciclo de vida" médio de 280 dias para reduzir o impacto sobre as operações de uma empresa.
Ter um Plano de Resposta a Incidentes pode ajudar a minimizar o tempo para a contenção de uma violação de dados e a lidar com as consequências de forma rápida e eficiente. O tempo é essencial em termos de regras de notificação de violação, uma vez que uma variedade de regulamentos, incluindo a DPA2018 e a GDPR, esperam uma notificação no prazo de 72 horas após a ocorrência de uma violação. Um Plano de Resposta ao Incidente informará os responsáveis pela segurança e conformidade sobre como responder ao incidente e oferecerá os detalhes necessários para efectuar uma notificação de violação.
O que está incluído num plano de resposta a incidentes?
Criar um Plano de Resposta a Incidentes é um processo que envolve uma abordagem lógica que inclui como preparar, detectar, responder, e recuperar de um incidente. Ter uma visão clara e inequívoca do que fazer quando o pior cenário acontece, pode ser a diferença entre o desastroso rescaldo e um caminho suave para a frente.
O livro de jogo de um Plano de Resposta a Incidentes deve abranger:
Preparar
Como todos os bons DIYers sabem, a preparação é a parte mais importante de um trabalho. O mesmo é verdade quando se cria um Plano de Resposta a Incidentes. A preparação para o plano começa com as pessoas.
Funções e responsabilidades: Quem é responsável por que ação quando ocorre um incidente? Identificar uma equipa de resposta a incidentes para o tratamento dos mesmos. Esta equipa deve também estar relacionada com as cláusulas relevantes da política de segurança em vigor na sua empresa. A formação do pessoal é uma parte vital da preparação e execução do plano de resposta a incidentes.
Inventário de recursos: Criar uma lista de recursos em todos os departamentos.
Avaliação dos riscos: Identificar as áreas de risco juntamente com a localização e classificação dos bens. Determinar os níveis de risco de cada uma dependendo da probabilidade de um ataque versus a gravidade de um incidente. Mapear a capacidade de lidar com um ataque contra estes activos.
Tipos de incidentes: Que tipo de incidentes são prováveis e o que constitui um incidente? Se ocorrer um incidente, quem é responsável por iniciar o processo de gestão do incidente? As organizações devem também delinear os critérios de escalonamento para os diferentes tipos de incidentes.
Cartografia da regulação: Documentar que regulamentos são relevantes e que requisitos precisam de ser cumpridos quando ocorre um incidente. Criar directrizes para a interacção com as autoridades externas, pós-incidente.
Diário de ocorrências: Incluir um registo para gerir o processo de resposta ao incidente. Isto também pode ser útil para os requisitos de conformidade regulamentar.
Detectar
Esta segunda fase do processo de planeamento da resposta ao incidente é sobre a monitorização, detecção e alerta quando ocorre um incidente.
Estratégia de detecção: Que ferramentas e medidas são utilizadas para detectar um incidente? Estas devem incluir ameaças de ameaças conhecidas, desconhecidas e suspeitas. Por exemplo, utiliza ferramentas de scanning de rede, Detecção e Resposta de Pontos Finais (EDR), etc.?
Alertas: Que sistemas são utilizados para alertar para uma possível violação?
Avaliação da violação: Como irá a sua organização localizar vulnerabilidades de dia zero ou Ameaças Persistentes Avançadas (APTs)? Uma "Avaliação de Compromisso" pode ser utilizada para localizar violações de segurança desconhecidas e acesso não autorizado à conta.
Responder
A forma como uma organização responde a uma violação é a chave para assegurar que a exposição aos dados é minimizada e os danos limitados. A resposta a incidentes abrange várias áreas, tais como a triagem de alerta, um aspecto importante para evitar tentativas erradas de resposta a incidentes. O principal aspecto coberto na parte da resposta de um processo de resposta a um incidente é conter e remover a ameaça. O Plano de Resposta ao Incidente precisa de cobrir as seguintes áreas:
Avaliação da violação: Como quantificar a extensão da ameaça e se a ameaça é real. Isto inclui como fazer a triagem de alertas.
Exercícios de contenção: Uma vez identificada uma ameaça, como será contida? Isto pode incluir o isolamento dos sistemas para proteger contra novas infecções/fugas de dados.
Avaliação das métricas de violação: Qual é a classificação dos dados violados? Os dados eram sensíveis? A violação teve impacto nos requisitos regulamentares?
Lidar com qualquer infecção/vulnerabilidade: Qual é o processo geral para remover os ficheiros infectados e lidar com qualquer consequência de uma infecção.
Preservar artefactos de violação: Como produzir um registo do incidente e quaisquer provas forenses. Incluir quem, o quê, porquê, e onde do evento.
Preparar para a notificação de violação: Se necessário, como se preparar para qualquer notificação de violação exigida. Isto deve incluir avisos públicos e pode fornecer modelos.
Responsabilidade com a legalidade e conformidade (e possivelmente com a aplicação da lei): Detalhes sobre quem é responsável por lidar com a legalidade e o cumprimento da lei e como este é tratado.
Recuperar
A recuperação é a última parte do processo de resposta a incidentes. O Plano de Resposta a Incidentes deve mostrar como a empresa avança a partir de um incidente, lições aprendidas e que tipo de exercícios de recuperação devem ser levados a cabo:
Exercícios pós-incidente: Como colmatar as lacunas descobertas durante a resposta ao incidente.
Eliminar o risco: Remover o risco e restaurar os sistemas a um estado pré-incidente.
Relatório: Orientação sobre a criação de um relatório de resposta a incidentes para ajudar a prevenir futuros incidentes. Mas também, orientações sobre a recolha e monitorização contínua de dados forenses para garantir a segurança contínua
Estruturas e normas ao escrever um plano de resposta a incidentes
Ao escrever um Plano de Resposta a Incidentes, pode ser útil ter alguma orientação de autoridades reconhecidas.
ISO 27001 - Anexo A.16: é um anexo à norma internacional ISO 27001 que dá conselhos úteis sobre como estabelecer um protocolo para lidar com a gestão do ciclo de vida de um incidente de segurança.
Processo de Resposta a Incidentes NIST: O NIST (National Institute of Standards and Technology) é uma agência do governo dos EUA. O Processo de Resposta a Incidentes do NIST detalha os quatro passos mencionados neste artigo.
Como escrever um Incident Response Plan? Nossa conclusão
O tratamento eficiente de eventos mesmo devastadores mitigará qualquer impacto presente e futuro de um incidente. A formação do pessoal, contudo, é um desafio perene que é exclusivo do Plano de Resposta a Incidentes de uma organização individual. Cada abordagem de incidente será diferente; cada organização tem o seu próprio conjunto de ameaças e estruturas organizacionais internas.
O conteúdo personalizado da formação pode ser utilizado para reflectir a singularidade de cada organização e a sua abordagem à gestão de incidentes. Ao criar um Plano Personalizado de Resposta a Incidentes que reflicta a estrutura única da sua organização, pode assegurar-se de que se atenua contra as várias ameaças que uma empresa moderna enfrenta.