Ética para equipes de resposta a incidentes e segurança

Views: 69
0 0
Read Time:9 Minute, 14 Second

Também disponível em PDF

Membros de equipes de resposta a incidentes e segurança (Equipes) têm acesso a muitos sistemas digitais e fontes de informação. Suas ações podem mudar o mundo. Como membro desta profissão, um membro da Equipe deve reconhecer a responsabilidade de seu eleitorado e de outros profissionais de segurança, bem como para a sociedade em geral. O indivíduo também deve reconhecer sua responsabilidade com seu próprio bem-estar.

A EthicsfIRST foi projetada para inspirar e orientar a conduta ética de todos os membros da Equipe, incluindo profissionais atuais e potenciais, instrutores, estudantes, influenciadores e qualquer um que use a tecnologia da computação de forma impactante. Esse quadro inclui princípios formulados como declarações de responsabilidade, com base no entendimento de que o bem público é sempre a principal consideração. Cada princípio é complementado por diretrizes, que fornecem explicações para auxiliar os profissionais da computação na compreensão e aplicação do princípio.

Os deveres são introduzidos abaixo, mas não são por ordem de importância. Esses deveres não devem ser vistos como requisitos absolutos, mas sim como indicado no IETF RFC2119 para a definição de “SHOULD”:

“Esta palavra, ou o adjetivo “RECOMENDADO”, significa que pode existir razões válidas em circunstâncias específicas para ignorar determinados [deveres], mas todas as implicações devem ser compreendidas e cuidadosamente ponderadas antes de escolher um curso diferente.”

Para obter mais informações sobre como lidar com possíveis dilemas, consulte o Apêndice A.

Dever de confiabilidade

A confiança é a base de muitas relações entre as Equipes e muitas vezes é necessária antes que uma troca significativa de informações possa ocorrer. A primeira comunidade é construída sobre essa confiança, e ela só pode continuar a funcionar dessa forma se houver um nível razoável de confiança entre as Equipes.

Confiabilidade significa que os membros da Equipe devem apenas: 1) assumir compromissos que podem manter, 2) comportar-se previsivelmente em relação a outras Equipes (por exemplo, respeitar o padrão TLP) e 3) manter a relação de confiança que eles têm com outras Equipes.

A relação de confiança deve ser inicialmente assumida e transitiva, ou seja, Confiança no Primeiro Uso (TOFU), e permitir a confiança para equipes que são confiáveis por outras Equipes.

Dever de divulgação coordenada de vulnerabilidade

Os membros da equipe que souberem de uma vulnerabilidade devem seguir a divulgação coordenada de vulnerabilidades, cooperando com as partes interessadas para remediar a vulnerabilidade de segurança e minimizar os danos associados à divulgação. As partes interessadas incluem, mas não se limitam ao repórter de vulnerabilidade, fornecedores afetados, coordenadores, defensores e clientes a jusante, parceiros e usuários a jusante.

Os membros da equipe devem coordenar com as partes interessadas apropriadas para concordar com cronogramas claros e expectativas para a divulgação das informações, fornecendo detalhes suficientes para permitir que os usuários avaliem seus riscos e tomem medidas defensivas acionáveis.

Dever de confidencialidade

Os membros da equipe têm o dever de manter a confidencialidade, quando apropriado. Pedidos para manter certas informações em sigilo podem ser explicitados, por exemplo, com o Protocolo de Semáforos (TLP). Os membros da equipe devem respeitar tais pedidos sempre que possível. Se não for possível manter as informações em sigilo, por exemplo, devido a conflitos com os requisitos das leis locais, contratos ou dever de informar, o membro da Equipe deve informar o titular das informações deste conflito imediatamente.

Alguns deveres de confidencialidade são baseados em leis, regulamentos ou costumes. Se, durante uma resposta a incidentes, algumas partes forem obrigadas ou esperar confidencialidade com base em tais considerações, elas devem fazer o seu melhor para tornar essas expectativas explícitas com antecedência. Todas as partes devem, então, respeitar a expectativa acima de manter pedidos explícitos para manter as informações em sigilo quando possível.

Dever de reconhecer

As equipes recebem informações de diversas fontes: pesquisadores, clientes, outras equipes, entidades governamentais, etc. Os membros da equipe devem responder às perguntas em tempo hábil, mesmo que seja apenas para confirmar que a solicitação foi recebida. Quando possível, os membros da Equipe devem definir expectativas para a próxima atualização.

Dever de autorização

Os membros da equipe têm uma necessidade legítima e direito de entender suas áreas de responsabilidade, agindo apenas em sistemas que eles estão autorizados a acessar. Os membros da equipe precisam estar cientes de como suas ações podem afetar seus eleitores e garantir que eles não causem danos adicionais durante o desempenho de suas funções. Sempre que possível, os constituintes devem ser consultados antes que sejam feitas alterações em seus sistemas.

Dever de informar

Os membros da equipe devem considerar seu dever manter seus eleitores informados sobre as ameaças e riscos atuais à segurança. Quando os membros da Equipe têm informações que podem afetar ou melhorar negativamente a segurança, eles têm o dever de informar partes relevantes ou outras pessoas que podem ajudar, com esforço apropriado, considerando devidamente a confidencialidade, leis e regulamentos de privacidade e outras obrigações.

Dever de respeitar os direitos humanos

Os membros da equipe devem estar cientes de que suas ações podem impactar os direitos humanos de terceiros através do compartilhamento de informações, um possível viés em suas ações ou uma violação dos direitos de propriedade. Os membros da equipe têm acesso a uma ampla gama de informações pessoais, confidenciais e confidenciais durante o tratamento de incidentes. Essas informações devem ser tratadas de forma a defender os direitos humanos.

Durante o tratamento de incidentes, os respondentes não devem agir de forma tendenciosa e devem fazer o possível para eliminar o viés de seus processos e tomadas de decisão, seja realizada pelos respondentes ou incorporada em algoritmos.

Para efeitos deste princípio, a noção de “propriedade” (Declaração de Direitos Humanos da ONU: artigo 17º) inclui intangíveis, como propriedade intelectual, bem como ideias e conceitos em geral, independentemente de estarem legalmente protegidos (por exemplo, patenteados).

Dever à saúde da equipe

As equipes têm a responsabilidade de continuar a prestar os serviços que prometeram aos seus eleitores. Essa responsabilidade inclui a saúde física e emocional da Equipe.

A fim de respeitar tanto como indivíduos os membros que formam uma Equipe e possibilitar a viabilidade a longo prazo de sustentar um nível adequado de serviço, uma Equipe deve se esforçar para manter um ambiente de trabalho saudável, seguro e positivo que apoie a saúde física e emocional de (todos) seus membros. Para responder a uma crise, as operações “normais” devem apoiar a saúde emocional e a redução do estresse.

Dever para a capacidade da equipe

A gestão de incidentes é um assunto em evolução que os membros da equipe devem estudar continuamente. Uma equipe deve fornecer recursos aos seus membros para que eles estudem, apliquem e avancem o conhecimento tecnológico e científico dentro de sua área de responsabilidade. Os créditos de CPE/CEU educativos podem contribuir, mas meros exercícios de conformidade são insuficientes para cumprir esse dever. Uma equipe deve manter infraestrutura tecnológica suficiente para viabilizar seus serviços, incluindo medidas adequadas para proteger essa infraestrutura de interferências de partes externas.

Dever de cobrança responsável

A coleta de dados é necessária para a resposta a incidentes, mas deve ser atingido um equilíbrio entre o objetivo de resposta a incidentes e o respeito aos stakeholders de dados.

Durante uma investigação, a quantidade de informações necessárias para coletar pode mudar. Enquanto avançam através de um incidente, os membros da equipe devem ajustar o que estão coletando à medida que a necessidade muda. Os dados não são diretamente relevantes para um incidente e sua remediação deve ser excluída da notificação.

Os dados coletados e extraídos devem ser tratados de acordo com as leis aplicáveis e o respeito à privacidade do usuário. A permissão deve ser solicitada antes de coletar e processar dados sob o controle de um proprietário de dados. A lei e os regulamentos aplicáveis no tratamento de dados devem ser respeitados.

Dados que possam ajudar outras equipes de resposta em seus esforços relacionados a outros incidentes devem ser disponibilizados a eles, possivelmente de forma redigida. Informações confidenciais e proprietárias só devem ser disponibilizadas com proteções adequadas.

Antes de compartilhar dados com terceiros para mitigação, os riscos devem ser ponderados em relação aos benefícios. Os dados só devem ser compartilhados se o benefício superar claramente os riscos. Dados confidenciais devem ser armazenados de uma forma que possa ser facilmente destruído após o fechamento de um incidente. Os dados coletados devem ser destruídos com segurança de acordo com as políticas de retenção de dados.

Dever de reconhecer limites jurisdicionais

Os membros da equipe devem reconhecer e respeitar os limites jurisdicionais, direitos legais, regras e autoridades das partes envolvidas em atividades relacionadas à resposta a incidentes.

Leis, regulamentos e outras questões legais, como aquelas relacionadas à proteção de privacidade ou notificações de violação de dados, podem diferir entre as jurisdições envolvidas. Os limites jurisdicionais podem ser determinados pelas localizações físicas das partes envolvidas, como seus países ou domicílios, bem como por outros fatores relativos a essas partes. Mesmo dentro de um único país, leis e regulamentos podem diferir entre regiões políticas (por exemplo, entre estados individuais nos EUA) ou entre diferentes empresas, indústrias ou setores dentro dessa nação (por exemplo, saúde, serviços financeiros e instalações governamentais). Os CSIRTs nacionais podem ter designado responsabilidades e/ou autoridade para atividades envolvendo constituintes dentro de sua própria jurisdição, e também podem colaborar com ou “entregar” informações e atividades para outras entidades que tenham autoridade para jurisdições que cruzem fronteiras.

Os membros da equipe devem estar cientes das principais questões que afetam as jurisdições envolvidas, incluindo, mas não se limitando a regulamentos de privacidade ou requisitos de notificação de violação de dados. Como as leis e regulamentos de segurança cibernética e privacidade evoluem e continuam a ser atualizados em todo o mundo, é aconselhável consultar um advogado informado para orientação sempre que as questões envolvam vários limites jurisdicionais.

Dever de raciocínio baseado em evidências

As equipes devem atuar com base em fatos verificáveis. Ao compartilhar informações, como indicadores de compromisso (IOCs) ou descrições de incidentes, os membros da equipe devem fornecer evidências e escopo de forma transparente. Se isso não for possível, as razões para não compartilhar essa evidência e escopo devem ser dadas com as informações.

Os membros da equipe devem abster-se de espalhar ou compartilhar rumores. Qualquer hipótese deve ser claramente identificada como tal.

Evidências transparentes e processos de raciocínio são importantes mesmo no caso do compartilhamento automatizado, por exemplo, durante o compartilhamento automatizado de grandes quantidades de informações. Neste caso, uma descrição do processo de mineração de dados deve ser comunicada em um nível inteligível de detalhes.

Apêndice Um

Lidar com dilemas

Os membros da equipe podem frequentemente encontrar-se em uma posição onde nenhuma ação parece satisfazer todos os princípios éticos. Em tal situação, deve-se escolher quais princípios priorizar. Nesta situação, os manipuladores de incidentes são encorajados a refletir sobre quais partes interessadas podem ser afetadas por suas ações e como, preferencialmente, em uma discussão com um colega. Como regra geral, deve-se escolher a solução que minimize a violação desse arcabouço ético. Às vezes, isso pode não ser possível, por exemplo, devido a pressões externas. Em tal situação, recomenda-se prosseguir, a tomar nota do dilema ético, possivelmente sob protesto.

FONTE: ETHICS FIRST

Previous post As 5 melhores maneiras de lidar com dados confidenciais
Next post Necessidade de ‘Guardrails’ em aplicações nativas da nuvem se intensifica

Deixe uma resposta