Um plano de resposta a incidentes é um programa estruturado e elaborado para ajudar a identificar, gerenciar e enfrentar incidentes cibernéticos. A criação de um plano de resposta é essencial para empresas, independentemente do tamanho, para que estejam preparadas caso algo aconteça. Criar e gerenciar corretamente um plano de resposta envolve constates atualizações e treinamento. Listamos 6 etapas básicas que compõem um plano eficaz.
1. Preparação
Esta fase será o ponto de partida do seu plano de resposta a incidentes e, em última análise, talvez a fase mais importante para proteger seu negócio como um todo.
É preciso garantir que seus colaboradores estejam devidamente capacitados acerca de suas responsabilidades e funções, caso ocorra um incidente. O plano deve ser bem fundamentado, detalhando as funções e responsabilidades de todos. Para assegurar que cada um desempenhe o papel que lhe foi atribuído, é preciso colocar o plano à prova. Para isso, é preciso avaliar o seu nível de proteção e resposta, ou preparedness. Conduza com frequência invasões ou violações de dados simulados. Quanto mais bem preparados estiverem seus funcionários, menor será a probabilidade de cometerem erros críticos. Certifique-se de que todos os aspectos do seu plano de resposta sejam aprovados e que você tenha os recursos necessários antecipadamente. Lembre-se: prevenir é melhor do que remediar. Seja proativo, não reativo.
2. Identificação
Nesta etapa, você determina se foi violado. Um incidente, pode originar-se de várias maneiras. Por isso, é o momento de abordar algumas questões essenciais para a identificação:
Perguntas a serem abordadas
Quando o evento/incidente ocorreu?
Como foi detectado?
Quem o detectou?
Quais áreas foram impactadas?
Qual é o alcance do comprometimento?
As operações foram afetadas?
A falha ou a origem do incidente foi descoberta?
3. Contenção
Quando um incidente ocorre, a reação inicial pode ser de apagar tudo o mais rápido possível para que você possa simplesmente se livrar do problema. No entanto, isso é prejudicial a longo prazo, visto que você pode destruir evidências úteis para determinar a origem da violação e para ajudar em um plano de prevenção para evitar que algo ocorra novamente.
O melhor a fazer é conter a violação para que ela não se propague e cause mais danos ao seu negócio. Caso seja possível, desconecte os dispositivos afetados da Internet. Tenha estratégias de contenção de curto e longo prazo já preparadas, não seja pego desprevenido. É crucial também que você tenha um bom sistema de backup para ajudar a restaurar as operações comerciais. Assim, qualquer dado ou ativo comprometido não será perdido definitivamente.
Este também é o momento de atualizar e corrigir seus sistemas, rever seus protocolos de acesso, alterar todas as credenciais de acesso de usuários e administrativos.
4. Erradicação
Uma vez contida a situação, é preciso encontrar e eliminar a causa da violação. Portanto, os sistemas devem ser corrigidos, atualizações devem ser aplicadas, e isso tem de ser realizado de modo minucioso, para que não haja vestígios de malware ou qualquer outra questão de segurança em seus sistemas. Caso contrário, você ainda estará correndo riscos sérios.
5. Recuperação
Esta é a etapa de restauração e restituição dos sistemas e dispositivos afetados, do seu ambiente digital. É fundamental que ela seja bem estruturada para garantir a continuidade dos negócios e para restabelecer a normalidade dos sistemas.
6. Takeaways
Depois de concluída a investigação, é preciso entender o que foi aprendido com o incidente. Por isso, é importante reunir todas as partes envolvidas para discutir e analisar e registrar o que foi feito e o que pode ser feito futuramente, avaliando o que deu certo no plano de resposta e onde houve alguma falha. As lições aprendidas, tanto em uma simulação quanto em um incidente real, ajudarão a fortalecer seus sistemas contra possíveis ataques no futuro. É preciso abordar as seguintes perguntas:
Quais mudanças devem ser feitas na segurança?
O que poderia ter sido feito, que não foi feito?
Quais falhas foram exploradas pela violação?
Como garantir que uma violação semelhante não aconteça novamente?
Ninguém quer passar por um incidente de segurança. Mas, planejar e estar preparado é essencial é responsabilidade digital, é saber o que fazer se, ou quando, algo acontecer.
