This post is also available in: Português Español
No mundo da segurança digital, existe um nome com elevada representatividade quando o assunto é o combate a ameaças cibernéticas. É o Center for Internet Security (CIS, sigla em inglês para Centro de Segurança da Internet).
Trata-se de uma organização sem fins lucrativos focada na comunidade tecnológica, e que é responsável, por exemplo, pelos CIS Controls. São práticas recomendadas e reconhecidas no mundo todo quanto à proteção de sistemas e dados, feitas por especialistas renomados.
Outro grande tema no qual o Center for Internet Security é referência é no seu checklist de verificação de acidentes cibernéticos. Na realidade, é uma listagem com um passo a passo preciso sobre as medidas a serem adotadas quando surgir um ataque virtual em uma empresa. Assim, mostra o ciclo de vida de todo o combate a um incidente de segurança digital.
O checklist do Center for Internet Security consiste em três etapas que podem ajudar as organizações a lidar com um incidente cibernético. Em cada estágio, diversas perguntas são feitas, guiando as ações e direcionando os passos seguintes.
O número de incidentes associados a segurança digital aumenta a cada ano. Por isso, é importante que profissionais estejam preparados para agir com brevidade, com o intuito de minimizar os impactos destes incidentes.
Neste conteúdo, traremos o cheklist da CIS, uma excelente referência para profissionais e empresas com maturidade em segurança digital, conscientes sobre a necessidade de preparação, para o enfrentamento destas situações.
1) Reunir fatos confiáveis e uma maneira de se manter informado
- A) Quem está relatando o problema? Como essas pessoas ficaram sabendo do incidente?
- B) O que se sabe até agora sobre o que aconteceu?
Nesse ponto, é necessário descrever quais redes e sistemas foram afetados, detalhando ainda os dados comprometidos – e se sofreram bloqueios ou alterações.
- C) Quando ocorreu a violação?
Aqui, é importante destacar quando exatamente o comprometimento foi descoberto, e o momento em que a empresa começou a fazer algo a respeito. Na sequência é necessário definir um cronograma com o escopo completo do problema e datas para que este seja completamente resolvido.
- D) Onde ocorreu a violação?
A ideia é ter dados concretos a respeito de qual unidade foi afetada, qual setor, qual cidade, qual escritório. A localização exata deve estar clara, para que as medidas sejam as mais assertivas possíveis.
- E) Quanto se sabe, com certeza, sobre como a violação ocorreu?
O objetivo nesse estágio é determinar com precisão a origem do ataque.
- F) Como manter todos informados sobre os esforços para remediar a violação e restaurar o serviço normal?
Ou seja, escolher um canal de comunicação confiável e ágil para trocar informações relevantes sobre o problema.
2) Mobilizar uma resposta
- A) Quem lidera o direcionamento dos esforços de resposta operacional?
- B) Qual será o papel de cada setor?
- C) Quem deve ser notificado quanto à invasão?
É importante envolver todos os setores necessários para uma respostas efetiva ao. Incidente. O setor de tecnologia convencionalmente é o primeiro a ser lembrado, mas dependendo da situação, setor jurídico, financeiro, entre outros podem e devem ser envolvidos no processo.
Dependendo do problema, pode ser necessário comunicar autoridades públicas, ou então outras empresas parceiras, fornecedores e clientes.
- D) Órgãos públicos competentes foram notificados?
Em alguns casos, pode ser necessário reportar a ocorrência ao órgão público responsável. No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), seria este órgão.
- E) Quais experts podem ser consultados para resolver o problema? Que tipo de ajuda extra pode ser necessária? E quem forneceria esse serviço?
Caso a empresa não possua contrato contínuo com um fornecedor especializado, para apoio em caso de incidentes cibernéticos, é importante, ao menos, possuir uma lista de fornecedores, para que mediante necessidade, tal empresa possa ser acionada/contratada com agilidade.
- F) Quais medidas são necessárias para proteger as redes e sistemas de novas invasões que podem se aproveitar deste momento?
Apesar de não ser o melhor cenário, um incidente pode revelar outros problemas na estrutura de defesa da empresa. Aproveite este momento para identifica-los e corrigi-los.
- G) Quais etapas adicionais são necessárias para proteger os bancos de dados?
- H) Como serão priorizados os esforços de remediação para reparar os danos e restaurar os serviços normais?
Neste momento é importante aplicar ferramentas para análise de risco e priorização, para que a empresa dedique-se ao que é mais importante. Esta é uma atividade fundamental para mitigação dos impactos e redução dos prejuízos.
- I) Quais notificações especiais devem ser preparadas para as vítimas?
Aqui, a ideia é definir como os clientes, cujos dados foram comprometidos, devem ser informados do incidente. Seja qual for o meio de contato, a mensagem deve ser a mais clara, honesta, rápida e transparente possível, dando detalhes sobre os esforços adotados para sanar a questão.
- J) Que outras ações as leis de notificação de violação exigem? Quais são as implicações legais do incidente?
Nessas duas últimas perguntas, a Lei Geral de Proteção de Dados (LGPD) deve ser consultada para prever quais as implicações aplicáveis e como lidar com elas.
3) Comunique o que se sabe
Dependendo da amplitude do ataque e tipo de negócio, é importante divulgar notas oficiais públicas assim que o problema já estiver razoavelmente controlado, detalhando novamente o que a empresa está fazendo a respeito. E mais: a direção deve estar preparada para explicar a postura de segurança cibernética pré-existente, detalhando as medidas que estavam em vigor para evitar eventos desse tipo.
Deve-se então explicar as etapas que serão tomadas para evitar futuras invasões não autorizadas. A dica é começar – ou recomeçar – com a higiene cibernética e os controles CIS, ou então, dependendo da necessidade e realidade da empresa, buscar por certificações de mercado, associadas a segurança da informação, tal como a certificação na norma ISO 27001.
Por último, a empresa deve estabelecer uma frequência regular de atualizações para vítimas, veículos de comunicação, redes sociais e outras partes interessadas – incluindo os próprios colaboradores. Afinal, eles também precisam de segurança em suas ações para ajudar a garantir a segurança digital da organização.
This post is also available in: Português Español