6 passos para construir um plano de resposta a incidentes
- Atualizado em 22 março, 2021
- Por Gatefy
- Blog, Dicas & Conselhos
Um plano de resposta a incidentes (do inglês incident response ou IR) é um manual de instruções que permite às empresas agirem de forma rápida e organizada no caso de ciberataques e violações de dados. O objetivo principal de um plano de IR é reduzir perdas e danos combatendo ameaças de modo eficiente, o que significa responder a um ataque no menor tempo possível e da melhor maneira. Sem desespero e sem ser pego de surpresa.
Para ser efetivo, um plano de resposta a incidentes deve integrar diferentes áreas da empresa e não deve tratar da mesma forma todos os funcionários e máquinas. É preciso diferenciar quais áreas são as mais importantes dentro da organização para que determinadas pessoas e máquinas sejam isoladas mais rapidamente e tenham maior proteção.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
A importância da resposta a incidentes
Nós acreditamos que a importância de um plano de resposta a incidentes para empresas reside em uma palavra apenas: segurança. Isto porque, a partir do momento em que a empresa se torna alvo de um ataque, um plano de IR pode garantir que o dano seja o menor possível e que ninguém seja pego despreparado.
Além disso, funcionários conscientes e treinados garantem mais proteção para a empresa. Diante disso, a pergunta é: será que os funcionários da sua empresa saberiam o que fazer no caso de um incidente de segurança?
Como criar um plano de resposta a incidentes
Hoje, de maneira geral, somente empresas de maior porte têm ou estão preocupadas em manter um plano de IR. Esse cenário deve mudar com o passar do tempo já que pequenas e médias empresas são alvos frequentes de ciberataques. Criar um plano de resposta a incidentes requer dedicação e pelo menos uma pessoa qualificada com conhecimento em tecnologia da informação e em segurança da informação.
Para facilitar, criamos uma lista de seis perguntas que podem ajudar você a criar um plano de resposta a incidentes efetivo.
1. Quem é o time de resposta a incidentes e quais os pontos críticos da empresa?
O primeiro passo para a construção da sua cartilha é definir quem ou quais pessoas serão responsáveis por criar e manter o plano de resposta a incidentes. Obviamente, quem for da equipe de TI é quem mais vai trabalhar.
Depois é necessário mapear a estrutura da empresa (departamentos, funcionários, softwares utilizados, tipos de dados armazenados, etc) e definir os setores críticos, ou seja, as áreas e pessoas que devem ser mais bem protegidas.
2. Quais são as tarefas do time de resposta a incidentes?
Um bom plano de resposta a incidentes deve conseguir documentar de maneira clara e enxuta todas as tarefas que o time de IR precisa executar e quais são os resultados esperados. Neste sentido, a cartilha precisa responder a perguntas como “quem?”, “como?”, “por quê?” e “qual é o resultado?”.
3. Quais são os piores incidentes?
Um dos maiores desafios quando se cria um plano de resposta a incidentes é justamente determinar quais são as ameaças e quais delas exigem mais atenção. Um bom ponto de partida são as categorias de incidentes criadas pelo National Institute of Standards and Technology (NIST) dos EUA com base em vetores de ataque: external/removable media, attrition, web, email, impersonation, improper usage e loss of equipment.
É importante que exista uma recomendação geral para incidentes mas que para ameaças mais comuns e perigosas existam explicações específicas, incluindo informações detalhadas sobre possíveis danos à empresa e métodos e dicas de prevenção.
4. Quais ferramentas de proteção devem ser utilizadas?
Um plano de IR completo deve levar em consideração também ferramentas de monitoramento, de análise e de detecção de ameaças que permitam ao time de IR ter visibilidade e compreensão sobre o que aconteceu ou está acontecendo. Soluções de proteção contra vírus, malware, ransomware, BEC e phishing são apenas alguns exemplos.
São essas ferramentas que vão fornecer as informações que serão usadas para combater os ataques e até mesmo evitar futuras infecções. São dados sobre o tipo de ameaça, o momento da infecção, a velocidade de propagação e quais máquinas foram afetadas. Estes são dados valiosos para que a defesa possa ser rápida e eficaz.
5. Em caso de um ataque, quem deve ser comunicado?
Além do time de IR, quem mais deveria ser comunicado no caso de um incidente? É importante pensar sobre essa questão e ter uma estratégia pronta, já que, dependendo do tipo da ameaça, ela pode afetar diferentes áreas da empresa e até parceiros e clientes.
Um incidente pode até ter implicações legais. É por isso que todos os setores da empresa devem estar cientes do plano de resposta a incidentes. Melhor: toda a empresa precisa ter acesso ao plano de IR. Trabalhe para isso.
6. Já estabeleceu uma estratégia de recuperação de desastres e testou o seu plano de IR?
Para terminar, duas dicas. A primeiro é: se você já possui um plano de IR, teste-o. Coloque a sua equipe de IR para trabalhar e faça um teste na prática. Só assim você poderá validar os processos do plano. A segunda dica é: sempre tenha uma estratégia de recuperação de desastres à sua disposição. No caso de uma ameaça que não pode ser facilmente eliminada, ter um backup atualizado é reconfortante. Pode acreditar!