De acordo com as estatísticas, quanto mais as empresas mudam suas operações para a realidade digital, mais riscos de cibersegurança aparecem. De acordo com uma pesquisa GetApp 2020 Data Security , 35% das empresas respondentes enfrentaram uma violação de dados em 2020, e 28% enfrentaram um ataque de ransomware.
O que você faria? Você e sua organização têm um plano de resposta?
Achamos que sabemos a resposta - de acordo com o relatório da IBM, apenas 26% das empresas têm um plano de resposta de segurança bem definido para violações de dados e outros tipos de ataques cibernéticos. Nesta postagem, discutiremos o que é um plano de resposta a incidentes de segurança cibernética e como ele o beneficiará. E destacaremos cinco etapas para criar um plano de resposta a incidentes e forneceremos uma variedade de recursos para ajudá-lo a começar.
O que é um incidente de segurança cibernética
Um incidente de segurança cibernética é qualquer evento que viola a política de segurança de TI de uma organização e coloca dados confidenciais em risco, como dados financeiros de clientes. Infecção por malware, ataques DDoS, ataques de ransomware, acesso não autorizado à rede, ataques internos e phishing são apenas alguns dos tipos comuns de incidentes de segurança cibernética.
O que é um plano de resposta a incidentes de segurança cibernética
Um plano de resposta a incidentes de segurança cibernética é um conjunto de instruções para ajudar seus funcionários a identificar , responder e se recuperar de incidentes de segurança cibernética .
Esse plano inclui medidas a serem seguidas para evitar ataques cibernéticos, etapas a serem executadas quando uma empresa já está enfrentando um ataque e ações pós-ataque, como informar as partes interessadas ou relatar o incidente a agências governamentais.
Por que você precisa de um plano de resposta a incidentes de segurança cibernética
Aqui estão as principais razões pelas quais todas as organizações precisam de um plano de resposta a incidentes de segurança cibernética bem documentado e atualizado regularmente.
Preparado para combater ataques cibernéticos
Com um plano de resposta, você e sua equipe saberão exatamente o que fazer. Ao mesmo tempo, todos terão uma função documentada e sua própria responsabilidade. Você não precisará dar instruções adicionais à sua equipe para que não haja perda de tempo ou interrupções na comunicação.
Você vai seguir as regras
No caso de uma violação de segurança, você deve cumprir muitos requisitos, como informar as partes interessadas e relatar o incidente às autoridades. Um plano de resposta o ajudará a rastrear e cumprir esses requisitos. Por exemplo, a lei de proteção de dados do consumidor GDPR exige que você relate um evento de segurança dentro de 72 horas de sua ocorrência, e o padrão de segurança de informações financeiras PCI DSS exige que você tenha um plano de resposta a incidentes e o revise pelo menos uma vez por ano.
Você não precisa depender de uma resposta ad hoc a incidentes
Um plano de resposta a incidentes de segurança cibernética é um documento escrito que define claramente as etapas que você e seus funcionários devem seguir quando uma violação de segurança é detectada. É aprovado pela direção da empresa, o que significa que você não precisa improvisar. Concordo, uma resposta preparada é mais eficaz do que uma resposta espontânea e caótica.
5 etapas para criar um plano de resposta a incidentes de segurança cibernética
1. Documente os tipos comuns de incidentes de segurança.
Para começar, crie um documento listando as ameaças potenciais ao seu negócio - ele o ajudará a preparar diferentes estratégias para responder a diferentes tipos de incidentes cibernéticos.
2. Priorize os incidentes de segurança com base em sua gravidade.
Os incidentes de segurança variam em magnitude e gravidade. Um arquivo corrompido no laptop de um funcionário pode ser considerado uma prioridade mais baixa do que um ataque DDoS, que pode desativar todo o site. Determine a gravidade de cada incidente de segurança para decidir se deve resolvê-lo primeiro.
Portanto, avalie se um incidente afeta seus dados (os torna inacessíveis, rouba ou faz com que sejam perdidos) ou sua capacidade de atender aos clientes ou executar operações. Qualquer incidente que afete a segurança dos dados e a segurança operacional deve ser tratado com prioridade.
Use nossa ferramenta de priorização de incidentes de segurançapara avaliar os riscos de vários incidentes de segurança.
Indique o impacto do incidente em suas operações e dados (não, baixo, médio ou alto), e o serviço mostrará automaticamente se é realmente uma prioridade, ou se sua resolução pode esperar um pouco.
Não se esqueça de definir um prazo para a resolução de quaisquer incidentes identificados. Idealmente, os incidentes de alta prioridade devem ser resolvidos dentro de 2 a 6 horas após a detecção, enquanto os incidentes de baixa prioridade devem ser resolvidos dentro de 24 horas.
3. Crie um fluxograma de resposta a incidentes indicando as ações necessárias
Um plano de resposta a incidentes determinará as etapas que você deve seguir para conter um ataque. Crie seu plano em um fluxograma para que sua equipe possa entender rapidamente qual caminho de mitigação de ameaças usar.
Um exemplo de circuito.
Indique quem é responsável por concluir cada etapa mencionada em seu fluxograma. Distribua responsabilidades claras e não conflitantes entre seus funcionários, para que não haja conflitos ou disputas desnecessárias.
Use a matriz Responsável, Responsável, Consultado e Informado (RACI) para indicar quem deve ser responsabilizado, responsável, consultado ou apenas informado sobre as várias etapas na resposta a incidentes. Pode ser uma pessoa - por exemplo, seu gerente de segurança será responsável por manter registros de incidentes, sendo responsável por operações técnicas, aconselhando sobre relatórios pós-incidente e fornecendo coordenação geral e ligação com agências reguladoras.
Aqui está um exemplo de matriz RACI que descreve as responsabilidades das diferentes partes interessadas, que você pode baixar e personalizar para se adequar às características da sua organização. Por exemplo, se você não tiver um MSSP, seu gerente de segurança será responsável por todas as operações técnicas.
4. Faça um teste e treine seus funcionários.
Um programa de resposta a incidentes por si só não é suficiente. Você precisa testar sua eficácia conduzindo exercícios de simulação que também irão treinar seus funcionários em suas funções no gerenciamento de incidentes de segurança. Aqui está um exercício de equipe vermelho e azul eficaz que você pode fazer como modelo.
5. Atualize seu plano de resposta a incidentes regularmente.
Atualize seu plano regularmente para acompanhar as mudanças no cenário de ameaças ou para incluir quaisquer novas medidas de segurança que você tenha tomado recentemente. Revise sua resposta pelo menos uma vez por ano e trabalhe para reduzir o tempo que você gasta contendo e se recuperando de incidentes.
Use as informações coletadas de incidentes de segurança anteriores e exercícios de simulação de desastres para identificar oportunidades de melhoria e implementar novos controles para seu plano de resposta a incidentes de segurança (por exemplo, certifique-se de procurar etapas que podem ser automatizadas).
Por fim, use um software dedicado, pois ele pode ajudá-lo a detectar e corrigir ameaças de segurança com mais eficácia. Eles permitem que as operações de negócios continuem, mesmo quando as atividades de resposta a incidentes são realizadas em segundo plano.
Aqui estão alguns deles:
- Software antivírus
- Software de segurança de endpoint
- Software de segurança de rede
- Software de monitoramento de rede
- SIEM
- Software de backup de dados
- Software de Continuidade de Negócios