E depois do ataque? Como melhorar a resposta a incidentes em todas as áreas da organização?
Computação

E depois do ataque? Como melhorar a resposta a incidentes em todas as áreas da organização?

Proteger uma organização requer a combinação certa de tecnologia e expertise, não basta somente esperar que os mecanismos preventivos de defesa funcionem.

Tenho tido muitas conversas com profissionais da área de cibersegurança, CISOs (Chief Information Security Officers), e cada vez mais com CEOs (Chief Executive Officers) sempre focados e preocupados com a transformação da cibersergurança que o mundo atual exige. Muito se fala e se lê sobre como implementar estratégias, tecnologias, processos para enfrentar e defender de um ataque. As empresas podem proteger seus ativos críticos de forma apropriada, podem também garantir que cibersegurança esteja integrada na cultura e nos sistemas, e podem, claro, intensificar seus mecanismos de defesa. Existem várias ações que podem ser implementadas, mas mesmo assim, todas as empresas serão atacadas. A chave para a detecção precoce e a resposta rápida é a inteligência aplicada rapidamente em ações. Os atacantes deixam pistas. A questão é se a vítima é capaz de detectar essas pistas e responder rapidamente.

Uma coisa é muito importante: ser atacado nem sempre significa que alguma violação de informação tenha acontecido como resultado.

Ataques cibernéticos estão cada vez mais sofisticados, mais frequentes, e suas consequências mais destruidoras e com impacto direto em nossa vida cotidiana. Quando determinados adversários se organizam e planejam ataques para encontrar alguma forma de invadir uma organização, qualquer empresa que tenha informação digital valiosa estará em situação de risco e poderá ter seus ativos críticos comprometidos.

As violações afetam, sem surpresa, a confiança dos acionistas, pois os investidores se assustam com a transgressão e, muitas vezes, com a resposta lenta da empresa para lidar com a violação ou mesmo reconhecê-la. Esse impacto sempre será desproporcionalmente pesado para empresas que tentam explorar novos modelos de negócios digitais.

Tenho observado que cada vez mais CISOs e CEOs estão percebendo que o valor comercial pode ser mais destruído como resultado de uma resposta inadequada à violação do que pela própria violação cibernética. Saber como responder a um ataque cibernético não é e nem pode ser uma questão de ter apenas ótimos instintos (também isso ajuda, por que não?), mas precisa ser aprendido e integrado. Atingir esse nível de conhecimento requer desenvolver um robusto plano de resposta a incidente e em seguida, testar e desafiá-lo constantemente através de simulações.

Infelizmente, a maioria das organizações não está preparada. São reativas, não pró-ativas. Apesar do reconhecimento de que as violações e ataques continuarão a crescer e que as empresas poderão sofrer ataques, elas ainda não pensam adequadamente como responder. As empresas precisam saber o que fazer depois do ataque. Essa é a grande mudança que deve ser implementada já.

Para endereçar esta lacuna, as empresas precisam acionar em três frentes:

1) Desenhar um Plano de Resposta a Incidentes que permeie todas as áreas de negócios;

2) Testar o plano constantemente e integrar na organização através de uma prática disciplinada;

3) Conduzir “post-mortem” de ataques e violações reais para avaliar a eficiência do plano e retroalimentar resultados e aprendizados.

O primeiro objetivo de um plano de resposta a incidente é gerenciar o incidente cibernético de forma que o dano seja limitado, aumente a confiança das partes interessadas e principalmente reduza o tempo e os custos de recuperação.

Estabelecer responsabilidades de tomada de decisão, e quem terá autoridade para decidir alguma ação, evitará caos e desorganização no momento de um ataque. A organização em si já demonstra uma evolução na maturidade e agilidade na resposta a incidentes e fortalece a coordenação interna e a responsabilidade entre as áreas de negócio, como, por exemplo, comunicação corporativa, assuntos regulatórios, jurídicos, compliance, auditoria, operações dentre outros.

Sem dúvida, um plano de RI eficiente ajuda a melhorar as relações com importantes terceiros, como agências de governo, especialistas em análise forense e remediação de brechas, e fabricantes de tecnologias de cibersegurança. Estas relações possibilitam a criação de guias de procedimentos, chamados de “playbooks” que incluem checklists de contenção, erradicação, recuperação, além de diretrizes para documentar respostas em termos de governança, risco e compliance. Claro que a abordagem detalhada irá depender de cada tipo de dado e incidente.

Um plano de RI, mesmo que muito bem desenhado, que fica na prateleira é de uso limitado se a organização não for bem direcionada sobre como usá-lo e se não for atualizado regularmente. Não é um documento estático e não deve ser esquecido em um arquivo, mas sim totalmente integrado na organização. O plano deve ser atualizado a cada incidente e deve ser um trabalho contínuo para identificar suas fraquezas, ou seja, onde os procedimentos poderiam trazer ações equivocadas, e realizar os ajustes necessários.

A importância de um jogo de guerra cibernético (do inglês, “cyber war game”), pode gerar insights sobre quais ativos de informação requerem proteção, onde há vulnerabilidades que os invasores podem explorar e falhas na capacidade de uma empresa responder a um ataque, especialmente nas áreas cruciais de comunicações e processo de tomada de decisão. O cyber war game é diferente de um teste de penetração tradicional, no qual empresas contratam hackers para identificar vulnerabilidades técnicas como por exemplo redes e portas inseguras ou programas voltados para o público que compartilham muitas informações através do navegador web.

Jogos de guerra não irão parar as ocorrências de violações e muito menos ataques. Parte da constante evolução e refinamento de um plano de RI, é incorporar os resultados das respostas dos ataques quando eles acontecem. Neste momento, é fundamental a condução de reuniões de post-mortem das reais violações para melhorar o plano de respostas a incidentes, pois erros podem ser corrigidos e os protocolos de respostas melhorados.

Em suma, uma empresa pode priorizar seus ativos e determinar o melhor e mais eficiente mecanismo de ações defensivas para colocar em prática em cada um daqueles ativos críticos. Poderá integrar, desta forma, a segurança cibernética nos processos de negócios e mudar o comportamento dos usuários da linha de frente, que em essência, somos todos nós. Também poderá construir a segurança nas aplicações e arquiteturas de infraestruturas e permitir o engajamento de uma defesa ativa, pró-ativa e não reativa. Portanto, aquela transformação da segurança que tanto os executivos CISOs e CEOs sonham e desejam deve passar pela criação de um plano de respostas a incidentes, testes contínuos não somente nas áreas de tecnologia, mas em todas as unidades de negócios da organização.

Proteger os ativos críticos de uma organização requer a combinação certa de tecnologia e expertise. As equipes de segurança precisam procurar pistas sutis, indicadores de compromisso e comportamento de risco, em vez de somente esperar que os mecanismos preventivos de controle terão sucesso em bloquear adversários sofisticados, nem que para isso sejam contratados serviços de Resposta a Incidentes.


Este artigo foi produzido por Marcos Nehme, Vice-presidente da RSA Security para América Latina e Caribe, e colunista da MIT Technology Review Brasil.