Educação Digital 4min de Leitura - 16 de fevereiro de 2023

Checklist para incidentes de segurança

Center for Internet Security

This post is also available in: Português Español

No mundo da segurança digital, existe um nome com elevada representatividade quando o assunto é o combate a ameaças cibernéticas. É o Center for Internet Security (CIS, sigla em inglês para Centro de Segurança da Internet).

Trata-se de uma organização sem fins lucrativos focada na comunidade tecnológica, e que é responsável, por exemplo, pelos CIS Controls. São práticas recomendadas e reconhecidas no mundo todo quanto à proteção de sistemas e dados, feitas por especialistas renomados.

Outro grande tema no qual o Center for Internet Security é referência é no seu checklist de verificação de acidentes cibernéticos. Na realidade, é uma listagem com um passo a passo preciso sobre as medidas a serem adotadas quando surgir um ataque virtual em uma empresa. Assim, mostra o ciclo de vida de todo o combate a um incidente de segurança digital.

O checklist do Center for Internet Security consiste em três etapas que podem ajudar as organizações a lidar com um incidente cibernético. Em cada estágio, diversas perguntas são feitas, guiando as ações e direcionando os passos seguintes.

O número de incidentes associados a segurança digital aumenta a cada ano. Por isso, é importante que profissionais estejam preparados para agir com brevidade, com o intuito de minimizar os impactos destes incidentes.

Neste conteúdo, traremos o cheklist da CIS, uma excelente referência para profissionais e empresas com maturidade em segurança digital, conscientes sobre a necessidade de preparação, para o enfrentamento destas situações.

1) Reunir fatos confiáveis e uma maneira de se manter informado

  • A) Quem está relatando o problema? Como essas pessoas ficaram sabendo do incidente?
  • B) O que se sabe até agora sobre o que aconteceu?

Nesse ponto, é necessário descrever quais redes e sistemas foram afetados, detalhando ainda os dados comprometidos – e se sofreram bloqueios ou alterações.

  • C) Quando ocorreu a violação?

Aqui, é importante destacar quando exatamente o comprometimento foi descoberto, e o momento em que a empresa começou a fazer algo a respeito. Na sequência é necessário definir um cronograma com o escopo completo do problema e datas para que este seja completamente resolvido.

  • D) Onde ocorreu a violação?

A ideia é ter dados concretos a respeito de qual unidade foi afetada, qual setor, qual cidade, qual escritório. A localização exata deve estar clara, para que as medidas sejam as mais assertivas possíveis.

  • E) Quanto se sabe, com certeza, sobre como a violação ocorreu?

O objetivo nesse estágio é determinar com precisão a origem do ataque.

  • F) Como manter todos informados sobre os esforços para remediar a violação e restaurar o serviço normal?

Ou seja, escolher um canal de comunicação confiável e ágil para trocar informações relevantes sobre o problema.

2) Mobilizar uma resposta

  • A) Quem lidera o direcionamento dos esforços de resposta operacional?
  • B) Qual será o papel de cada setor?
  • É importante envolver todos os setores necessários para uma respostas efetiva ao. Incidente. O setor de tecnologia convencionalmente é o primeiro a ser lembrado, mas dependendo da situação, setor jurídico, financeiro, entre outros podem e devem ser envolvidos no processo.

  • C) Quem deve ser notificado quanto à invasão?

Dependendo do problema, pode ser necessário comunicar autoridades públicas, ou então outras empresas parceiras, fornecedores e clientes.

  • D) Órgãos públicos competentes foram notificados?

Em alguns casos, pode ser necessário reportar a ocorrência ao órgão público responsável. No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD), seria este órgão.

  • E) Quais experts podem ser consultados para resolver o problema? Que tipo de ajuda extra pode ser necessária? E quem forneceria esse serviço?

Caso a empresa não possua contrato contínuo com um fornecedor especializado, para apoio em caso de incidentes cibernéticos, é importante, ao menos, possuir uma lista de fornecedores, para que mediante necessidade, tal empresa possa ser acionada/contratada com agilidade.

  • F) Quais medidas são necessárias para proteger as redes e sistemas de novas invasões que podem se aproveitar deste momento?

Apesar de não ser o melhor cenário, um incidente pode revelar outros problemas na estrutura de defesa da empresa. Aproveite este momento para identifica-los e corrigi-los.

  • G) Quais etapas adicionais são necessárias para proteger os bancos de dados?
  • H) Como serão priorizados os esforços de remediação para reparar os danos e restaurar os serviços normais?

Neste momento é importante aplicar ferramentas para análise de risco e priorização, para que a empresa dedique-se ao que é mais importante. Esta é uma atividade fundamental para mitigação dos impactos e redução dos prejuízos.

  • I) Quais notificações especiais devem ser preparadas para as vítimas?

Aqui, a ideia é definir como os clientes, cujos dados foram comprometidos, devem ser informados do incidente. Seja qual for o meio de contato, a mensagem deve ser a mais clara, honesta, rápida e transparente possível, dando detalhes sobre os esforços adotados para sanar a questão.

  • J) Que outras ações as leis de notificação de violação exigem? Quais são as implicações legais do incidente?

Nessas duas últimas perguntas, a Lei Geral de Proteção de Dados (LGPD) deve ser consultada para prever quais as implicações aplicáveis e como lidar com elas.

3) Comunique o que se sabe

Dependendo da amplitude do ataque e tipo de negócio, é importante divulgar notas oficiais públicas assim que o problema já estiver razoavelmente controlado, detalhando novamente o que a empresa está fazendo a respeito. E mais: a direção deve estar preparada para explicar a postura de segurança cibernética pré-existente, detalhando as medidas que estavam em vigor para evitar eventos desse tipo.

Deve-se então explicar as etapas que serão tomadas para evitar futuras invasões não autorizadas. A dica é começar – ou recomeçar – com a higiene cibernética e os controles CIS, ou então, dependendo da necessidade e realidade da empresa, buscar por certificações de mercado, associadas a segurança da informação, tal como a certificação na norma ISO 27001.

Por último, a empresa deve estabelecer uma frequência regular de atualizações para vítimas, veículos de comunicação, redes sociais e outras partes interessadas – incluindo os próprios colaboradores. Afinal, eles também precisam de segurança em suas ações para ajudar a garantir a segurança digital da organização.

This post is also available in: Português Español