0
0
Embora os ataques cibernéticos tenham se tornado mais comuns, lidar com eles continua sendo extremamente desafiador para as organizações. Mesmo que as coisas corram bem no nível técnico, a resposta a incidentes (IR) ainda é um processo estressante e agitado em toda a empresa; esta é a realidade da gestão de crises cibernéticas.
Para os profissionais cibernéticos, as consequências de lidar com um ataque muitas vezes podem parecer como vencer a batalha, mas perder a guerra. Eu vi esse sentimento se desdobrar inúmeras vezes durante os últimos seis anos, já que lidei com mais de 400 incidentes cibernéticos de todos os tipos, incluindo ataques realizados por grupos criminosos e apoiados pelo Estado.
Por exemplo, gerenciei recentemente um incidente cibernético em uma grande empresa onde, a nível técnico, o tratamento do incidente foi excelente, mas a cooperação com a administração foi complexa e frustrante, uma verdadeira Torre de Babel . As equipes de tecnologia não falavam uma linguagem que o lado comercial, incluindo membros seniores da administração da organização, pudesse entender. A administração não conseguia trabalhar no ritmo e com a flexibilidade necessária para o mundo cibernético em rápida mudança. E erros na tomada de decisões da gestão sobre questões legais, continuidade do negócio e do sistema de informação e sobre o que foi comunicado ao pessoal e ao público acabaram por afetar a atividade técnica para remediar o incidente e a percepção de como ele foi tratado.
Obviamente, toda organização deve ter um plano sistemático para avaliar, identificar e lidar tecnicamente com um incidente cibernético. Mas toda empresa também deve se preparar para o RI no nível organizacional. Para fazer isso, deve haver um processo ordenado e contínuo de preparação para o gerenciamento de crises cibernéticas.
Passo 1: Determinando as premissas organizacionais e definindo os papéis
As organizações precisam desenvolver uma suposição de trabalho dos principais fatores de ameaça, alvos e ramificações práticas de um ataque cibernético. A organização também deve identificar os principais cenários com os quais pode precisar lidar, incluindo uma situação que resulte no fechamento das principais atividades de negócios e uma situação em que informações confidenciais sejam vazadas ou roubadas. Estas devem ser feitas com base na natureza da organização, setor em que atua, sua localização geográfica e histórico de eventos cibernéticos. Esses cenários devem ser atualizados constantemente à medida que os negócios e as ameaças mudam e crescem. As empresas de capital aberto também devem estar cientes dos riscos à imagem e às finanças que podem surgir com os ataques, pois os regulamentos exigem cada vez mais o relato de incidentes cibernéticos.
Além disso, cada organização precisa determinar seus princípios orientadores, respondendo a perguntas-chave, como se negociaria com invasores e se eles considerariam pagar um resgate. Ele também precisa decidir quem mitigará um ataque – uma equipe interna ou um terceiro contratado. Por fim, a empresa deve determinar quem, em sua administração, é o proprietário do risco para cada etapa do tratamento de um ataque. As empresas podem usar a Matriz RACI para isso, que ajuda a determinar quem é Responsável, Responsável, Consultado e Informado em cada estágio de uma crise cibernética.
Etapa 2: Construir um plano de ação integrado em todos os departamentos
Cada departamento precisa construir um plano para lidar com cenários de crise cibernética. Por exemplo, o departamento jurídico entenderá com antecedência quaisquer requisitos regulatórios, incluindo quais informações precisam ser compartilhadas com investidores, clientes ou o público. O departamento de relações externas preparará com antecedência a estrutura para boletins ou anúncios relacionados a um ataque cibernético, bem como uma lista de distribuição potencial.
A administração da empresa precisa garantir que cada departamento conheça sua função, tenha um plano e que os planos sejam sincronizados e coordenados entre os departamentos.
Passo 3: Construindo um plano de RI
As organizações precisam determinar qual infraestrutura será usada durante a mitigação de um ataque cibernético, incluindo qual infraestrutura de tecnologia da informação será usada para gerenciar o ataque e ter planos de contingência para situações em que as redes corporativas e os sistemas de TI não estiverem funcionando. Quando possível, o plano também deve considerar como garantir a continuidade dos negócios durante o processo de mitigação.
Essa parte do plano também envolve a nomeação de quais pessoas irão gerenciar o processo de mitigação e a criação de um rodízio de turnos 24 horas por dia, para que alguém da organização esteja sempre de plantão no caso de uma emergência cibernética em andamento.
Etapa 4: Praticar o plano no nível departamental e organizacional
Construir um plano não é suficiente, ele deve ser praticado por meio de exercícios e ensaios tanto dentro dos departamentos quanto no nível organizacional geral. Isso permite que as empresas reconheçam quaisquer lacunas no plano e as resolvam de forma eficaz.
Realizar um exercício também é uma forma eficaz de envolver todos os gerentes e funcionários. Isso ajuda a torná-los mais conscientes do papel e da importância da segurança cibernética e de como ela não é apenas uma questão técnica, mas uma preocupação existencial que envolve todas as partes de uma organização.
Conclusão
Hoje em dia, ninguém pode evitar completamente um ataque, e acreditar nisso seria ingênuo. Mas a próxima melhor coisa para interromper um ataque é mitigá-lo.
É possível avaliar os principais resultados dos diferentes tipos de ataques, cabendo a cada departamento a responsabilidade de desenvolver planos de gestão de crises cibernéticas. Isso permitirá que eles gerenciem a crise, em vez de serem gerenciados por ela. As partes envolvidas poderão se comunicar e evitar uma situação de “Torre de Babel”. Em última análise, isso reduzirá erros e danos à organização, encurtará a duração da resposta à crise e resultará em menos frustração para as muitas partes interessadas dentro e fora da organização.
FONTE: HELPNET SECURITY