0
0
O cenário de ameaças é complexo e as táticas usadas pelos agentes de ameaças estão em constante evolução. Neste jogo interminável de gato e rato, parece que não importa quais avanços de segurança cibernética os mocinhos façam, é um estado perpétuo de recuperação. À medida que as táticas evoluem, os planos de prontidão também devem evoluir.
Todas as empresas, independentemente do tamanho, devem ter um conjunto de planos de resposta a incidentes que levem em consideração uma variedade de situações. Por exemplo, a ação que você executa para um ataque de ransomware versus descobrir um funcionário fazendo algo nefasto são muito diferentes. Ter um manual que considera muitos cenários garante que nada seja perdido. Afinal, a última coisa que qualquer empresa deseja fazer durante uma crise é uma resposta ad hoc a incidentes.
Pontos-chave a cobrir
A resposta a incidentes requer um planejamento meticuloso; isso é algo com o qual as empresas menores geralmente lutam. Embora nem todas as organizações tenham os recursos para planejar todos os cenários possíveis, o objetivo é chegar a um ponto de satisfação.
As considerações a seguir tornarão o processo menos assustador.
Conheça seus ativos. Identifique ativos críticos e implemente etapas para recuperá-los em caso de falha. Por exemplo, crie uma lista de sistemas internos que são essenciais para a função dos negócios do dia-a-dia. Não precisa ser um ataque cibernético que possa deixá-los offline. Falhas de hardware, desastres naturais e atualizações defeituosas podem causar interrupções. Independentemente da causa, ter um plano em vigor acelera o processo de recuperação.
Como até mesmo planos de backup e recuperação cuidadosamente elaborados podem ser comprometidos em um ataque, proteções adicionais são importantes para a resiliência cibernética. Por exemplo, em antecipação a um ataque de resgate, mantenha várias cópias de backups em diferentes domínios (por exemplo, local e nuvem). Da mesma forma, considere soluções de backup que não permitam que um invasor reescreva, criptografe ou modifique backups anteriores. Igualmente importante, mantenha um histórico de pontos restaurados e backups que não podem ser comprometidos; isso permitirá restaurar a partir de uma boa cópia de um instantâneo anterior. Embora nem todos os ataques de malware sejam ransomware, a capacidade de recuperar dados rapidamente após um incidente é essencial para minimizar o tempo de inatividade e retomar as operações comerciais normais.
Aproveite o tempo para aprender. A segurança cibernética é um desafio porque, mesmo com as etapas corretas tomadas e todas as caixas corretas marcadas, uma empresa ainda pode ser vítima de um ataque. No entanto, cada encontro com um incidente de segurança também é uma oportunidade de aprendizado.
Para aqueles que se aprofundam, informações valiosas podem ser obtidas sobre como um usuário encontrou inicialmente uma ameaça. Pode haver algo a montante de suas ações que poderia ser melhorado. Talvez eles tenham clicado em um e-mail que passou pelo filtro de spam. Existem oportunidades adicionais quando os usuários relatam um e-mail suspeito; aproveite a oportunidade para saber como chegou à sua caixa de entrada. É aqui que uma equipe de TI ou centro de operações de segurança (SOC) pode realmente ajudar; é também aqui que a experiência pode fazer uma grande diferença.
Planeje e pratique. Não existe um plano de resposta a incidentes único para todos. Tenha planos para uma variedade de incidentes de segurança que você pode antecipar. Um funcionário fazendo algo nefasto que exige que seja demitido no local requer um curso de ação diferente da descoberta de uma violação de terceiros. Para cada cenário, crie um manual para garantir que nada seja perdido.
Não espere por um incidente para testar a eficácia dos planos. Para identificar lacunas e atingir o nível desejado de confiança, é importante realizar uma simulação de incêndio ocasional. Reflita sobre como as coisas correram e procure áreas de melhoria.
Configure um alias de resposta rápida via e-mail para garantir que todas as partes interessadas sejam incluídas; isso permite um alerta rápido no caso de um incidente, gastando menos tempo delegando e mais tempo recuperando. Envolva essa equipe desde o início, durante a construção dos planos de resposta e a atribuição de responsabilidades no caso de ocorrer um ataque. Uma simulação de incêndio exporá o que (ou quem) está faltando e o que poderia ser feito melhor.
Pratique e revise os planos anualmente
Uma vez que um nível de conforto é alcançado, isso não significa que você nunca mais praticará. A confiança simplesmente diminui a cadência de revisão dos planos. À medida que as táticas mudam, seus planos de resposta também devem mudar. Uma boa regra é, uma vez que você tenha confiança em seus planos, revise-os anualmente.
Os planos de resposta a incidentes são essenciais para empresas de todos os portes. Porque não é se uma organização vai passar por um incidente, mas quando, ter um plano documentado para detectar, conter e responder é fundamental. O planejamento e a prática podem minimizar bastante o tempo necessário para a recuperação de dados críticos, de modo que as empresas possam minimizar o tempo de inatividade e até mesmo manter as operações durante um incidente.
FONTE: DARK READING