Como proteger a sua empresa de um ataque informático

Views: 938
0 0
Read Time:4 Minute, 26 Second

O ataque informático que colocou todo o serviço da Vodafone em baixo durante largas horas veio reacender a discussão sobre a importância do investimento na segurança dos dados e das infraestruturas online.

Com cada vez mais serviços e dados a serem suportados por plataformas online, é essencial que as empresas se preparem para ataques cada vez mais frequentes, mantendo um constante backup de toda a base de dados e reforçando todas as medidas de segurança.

Se tem uma empresa ou é responsável informático, conheça alguns cuidados que deve adotar para proteger a sua organização em caso de um ataque informático.

Dicas para garantir a segurança informática da sua empresa durante um ataque informático

As violações da cibersegurança são atualmente uma ameaça, não só para as empresas, mas também para a estabilidade da economia mundial.

A preparação pré-incidente e a gestão profissional são os fatores determinantes que podem minimizar o impacto de um ciberataque.

Por estas razões, conheça uma lista desenvolvida pela Cipher, a divisão de cibersegurança da Prosegur, com as recomendações mais úteis para salvaguardar a sua empresa ou organização caso sofra um ataque informático.

Centralize a coordenação da resposta ao incidente

Todas as medidas após um ataque informático devem ser perfeitamente coordenadas a partir de um único ponto e, em particular, não devem ser tomadas medidas unilaterais por diferentes departamentos, pois podem distorcer a informação durante o processo de Threat Hunting.

A ação descoordenada pode ser um sinal de fragilidade que acelera ou radicaliza a resposta dos cibercriminosos.

Identifique e analise

Uma vez confirmado que a organização foi atacada, o desafio é identificar, com a maior precisão possível, tanto os vetores de ataque como as provas ou indicações provenientes do incidente.

Deve ser efetuada uma análise exaustiva a fim de determinar os IoC (Indicadores de Compromisso) do ataque informático, bem como o modus operandi do grupo criminoso envolvido, no caso de, através de mecanismos de ciberespionagem, haver informação disponível sobre o mesmo que possa ser útil para a definição dos próximos passos.

Implemente uma estratégia de contenção dos elementos infetados para travar a propagação de vírus

As estratégias de contenção dependerão do tipo de incidente e dos recursos e capacidades de contenção disponíveis, tendo em conta ainda a eventual necessidade de preservar provas forenses da atividade criminal e a sustentabilidade de uma solução definitiva ou temporária.

Alguns exemplos são o corte completo de ligações ao exterior (Total Internet Cut-Off), limitar a conetividade em protocolos de comando e controlo identificados (por exemplo HTTPS) e o estabelecimento de uma situação de “VLAN de contenção”, em que os elementos afetados sejam isolados.

Erradicação e recuperação

Após um computador ter sido contido devido a uma ameaça, o trabalho de erradicação e recuperação deve começar, para que a normalidade diária de toda a empresa possa eventualmente ser reposta.

Nesta fase, existem várias possibilidades como a reinstalação do equipamento, a restauração de um backup anterior ao incidente ou a limpeza do equipamento de elementos maliciosos.

Análise forense e estabelecimento da linha cronológica

A fase mais grave do ataque informático não é o melhor momento para fazer uma análise completa da linha cronológica, da sua causa e origem.

Em geral, recomenda-se que toda a análise forense do incidente seja orientada para a reconstrução de uma linha cronológica do ataque, a fim de localizar vestígios de atividade maliciosa.

Deve ter-se em conta que, num incidente deste tipo, podem existir centenas, se não milhares de computadores que tenham sido comprometidos ou onde elementos maliciosos possam persistir e levar à reinfeção.

Comunicação interna

Estando as comunicações dentro da empresa comprometidas, é urgente encontrar um canal de comunicação alternativo que possa servir como ferramenta de comunicação segura para partilhar informações sobre a gestão da crise.

Se não existir, podem ser estabelecidas plataformas de comunicação e colaboração alternativas (tais como Teams, ou grupos no Slack, Signal ou Telegram).

Recomenda-se centralizar a comunicação interna na figura do coordenador.

Comunicação externa

Todas as comunicações externas devem ser supervisionadas por um gabinete de crise, que deve solicitar informações à coordenação técnica para notificar clientes, parceiros ou proprietários de dados pessoais comprometidos na ótica do Regime Geral da Proteção de Dados e, sobretudo, as forças de segurança pública.

Recomenda-se também que os stakeholders potencialmente impactados pelo ataque informático sejam notificados o mais rapidamente possível, para que possam realizar um processo de procura de indicadores dentro das suas infraestruturas e excluir a propagação do mesmo tipo de ameaça nos seus sistemas.

Este tipo de comportamento é altamente valorizado pelos parceiros e empresas com quem mantemos uma relação de confiança

Reflexão e aprendizagem

Após o ataque informático ser mitigado e a recuperação estar terminada, é boa prática fazer um balanço das aprendizagens durante a crise, a fim de melhorar as medidas de segurança, desenvolver novos processos e implementar novas tecnologias para a deteção, análise e mitigação de futuros incidentes.

Na sequência da gestão de incidentes, e como parte do processo de aprendizagem, são também recomendadas reuniões de balanço globais, particularmente se o incidente tiver um impacto elevado, para usar o acontecimento como uma oportunidade para transmitir a todos os funcionários a necessidade de manter comportamentos corretos de cibersegurança, sendo que o fator do erro humano é muitas vezes a fragilidade procurada pelos piratas cibernéticos num ataque.

FONTE: TECHBIT

POSTS RELACIONADOS