0
0
As crises de segurança cibernética estão se tornando comuns. Com o enorme aumento nos ataques de ransomware nos últimos anos, as empresas não podem se dar ao luxo de ignorar a crescente possibilidade de enfrentar um, e devem investir dinheiro e esforço no gerenciamento de crises.
Alguns já foram queimados e estão (espero) trabalhando na criação de planos de resposta a incidentes e continuidade de negócios e praticá-los agora. Aqueles que ainda não foram atingidos devem agradecer às suas estrelas da sorte e iniciar o mesmo processo o mais rápido possível.
Pedimos a Ron Tosto, CEO e fundador da empresa de consultoria em segurança cibernética e conformidade Servadus, algumas informações sobre o assunto.
[As respostas foram editadas para maior clareza.]
Quais são alguns obstáculos frequentes que impedem as empresas de considerar o gerenciamento de crises?
O obstáculo mais comum é a falta de patrocínio da liderança executiva da organização. Se eles não virem um motivo para a gestão de crises, então isso não será uma prioridade para a empresa. Isso estabelece a cultura da empresa no que se refere à preparação para crises.
Os horários também são um desafio muito comum para as organizações. A prática nas etapas de gerenciamento de crises requer a máxima participação da organização.
Finalmente, a preparação para a gestão de crises tem um impacto financeiro. As empresas que estão observando o dólar de fundo podem não levar dinheiro para margem para se preparar para a crise.
Qual ou quem é o elemento/pessoa/equipe mais crucial quando se trata de planejamento de gerenciamento de crises e colocar o plano em prática?
Dentro de um plano de resposta a incidentes, cada função é vital para o sucesso da resposta. No entanto, a função mais imperativa é o centro de operações de rede ou o centro de operações de segurança, que seriam responsáveis por descobrir o incidente e alertar a organização.
Se a pessoa tiver a oportunidade de identificar um incidente e perdê-lo, ninguém mais responderá. Durante o incidente, mais membros da equipe estão presentes e cientes de apoiar uns aos outros. Há uma oportunidade para cada usuário final notar atividades suspeitas e denunciá-las. Os membros da equipe devem entender os sintomas de um incidente e receber incentivo para iniciar os primeiros passos do plano como parte da cultura para proteger a empresa.
O planejamento de gerenciamento de crises pode ser completamente terceirizado para especialistas externos?
Elementos de gerenciamento de crises podem incluir especialistas externos; consultores jurídicos, empresas de RP e investigadores forenses são bons recursos para se ter no retentor.
Quando se trata de gerenciamento de crises, os CEOs podem usar consultores de gerenciamento de crises, mas o líder da empresa nunca deve perder o foco de que as decisões tomadas durante uma crise são os proprietários da empresa com participação no resultado.
Com que frequência os planos de resposta a incidentes e continuidade de negócios devem ser revisados e com que frequência eles devem ser praticados?
Organizações sem grandes mudanças na liderança e em seu modelo operacional devem revisar e testar os planos de resposta a incidentes anualmente.
Mesclar operações após uma aquisição, mudar para um ambiente de nuvem e reestruturar a infraestrutura VPN para suportar trabalhadores remotos são bons exemplos de quando gerar atualizações no plano de continuidade de negócios.
Toda vez que há um novo plano de continuidade de negócios, é necessário um exercício de resposta a incidentes. Se a pessoa designada para uma função importante dentro do plano de resposta a incidentes mudar, teste o plano pelo menos a um nível mínimo. Deve haver um treinamento prático de conscientização sobre exercícios para todos os novos funcionários, incluindo funções técnicas e pessoal de liderança.
Planejar uma crise de segurança cibernética é importante, assim como a implementação de estratégias para mitigar o risco de enfrentar uma em primeiro lugar. O que é importante ter em mente?
Como se preparar para ataques de ransomware é uma pergunta frequentemente feita. Do meu ponto de vista, a melhor ação é passar pela lista de verificação de controles de segurança que impedem que hackers assumam o controle da sua rede.
Organizações como a Servadus oferecem uma Avaliação de Prontidão de Ransomware que ajuda a liderança organizacional a identificar os riscos atuais para a corporação. É claro que ter planos atualizados de resposta a incidentes e continuidade de negócios faz parte dessa avaliação. Lá fora, o valor real vem da correção de controles fracos de segurança cibernética.
Além disso, as organizações implementam uma estrutura para implementar o controle de segurança e a sustentabilidade. Muitas organizações tentam manter os controles de conformidade e segurança, mas são vulneráveis a ataques 3 a 6 meses após validar a segurança nos canais em vigor.
A estratégia de longo prazo é validar controles de segurança sustentáveis. A estrutura de serviços também permite que as organizações avaliem ameaças à organização e vulnerabilidades do software do sistema em uso. Esta é a fórmula fundamental para o risco cibernético: Ameaças + vulnerabilidades = risco. Além da estratégia de estrutura de segurança cibernética, as organizações devem ter a capacidade de entender vulnerabilidades e ameaças.
Se um líder empresarial acredita que tudo isso é muito caro, eles geralmente acreditam que o seguro pagará a conta. Mas eles devem olhar para as letras miúdas de sua apólice de seguro; o fato é que, mesmo que você tenha seguro de segurança cibernética, a companhia de seguros muitas vezes não cobrirá as perdas resultantes de um ataque se uma organização não se preparar para um ataque cibernético.
Algumas empresas tentam justificar sua decisão de renunciar à preparação dizendo que o custo de um ataque cibernético geralmente é menor do que o custo da prevenção e preparação. A realidade é que os pagamentos de resgate estão agora em milhões de dólares para grandes organizações; há exemplos de um pagamento de US$ 4 milhões por ataques de resgate. Mesmo que uma organização tenha pago US$ 1 milhão em preparação para manter o negócio, ainda está US$ 3 milhões à frente de pagar maus atores.
FONTE: HELPNET SECURITY