O que é considerado um incidente de segurança?
Um incidente de segurança é qualquer evento adverso, confirmado ou suspeito, que comprometa a confidencialidade, integridade ou disponibilidade de informações ou sistemas de informação. Alguns exemplos de incidentes de segurança são: negação de serviço, códigos maliciosos, acessos não autorizadas (hackings), infecções por malware (como vírus e ransomware), perda ou roubo de dispositivos que contêm informações sensíveis, e divulgação não autorizada de dados pessoais.
Os incidentes de segurança da informação podem ser causados por várias fontes, incluindo atores mal-intencionados externos, como hackers ou grupos de crime organizado, atores internos (como funcionários descontentes ou negligentes), falhas técnicas, ou até mesmo desastres naturais. “Muitos ataques têm ocorrido através da cadeia de suprimentos externa e não podemos negligenciar isso. É preciso criar políticas, auditar e fazer análise de risco. Grandes empresas já têm um controle melhor disso, mas as empresas menores e medianas ainda estão engatinhando neste ponto”. (Fernando Malta, CISO na Sinqia).
A importância da gestão de incidente de segurança da informação
Esta gestão envolve a identificação, classificação, resposta e recuperação de incidentes, bem como o aprendizado e a melhoria contínua para prevenir a notificação de incidentes semelhantes no futuro. É comum empresas serem pegas de surpresa, forçadas a criar estratégias de resposta no calor do momento, como o “War Room”. Este é um ponto crucial que merece uma atenção significativa.
Durante esses momentos críticos, é vital que a empresa e seus tomadores de decisão estejam envolvidos. São eles que discutem quem pode fazer o quê, quando e como: se um servidor precisa ser desativado, qual aplicação deve ser priorizada, etc. Neste sentido, as decisões devem ser mútuas, consolidando um esforço coletivo para amenizar a crise.
Entretanto, não existe um modelo padrão para um plano de resposta a incidentes de segurança. O plano deve ser ajustado de acordo com a empresa e o nível de maturidade de sua estratégia de política de segurança da informação. Contudo, um método eficaz, comprovado pela prática, envolve a segmentação das equipes envolvidas.
Gerenciamento de incidentes: passo-a-passo
A criação de um processo para lidar com incidentes de segurança é fundamental. Aí reside a importância de ter bem definidos os papeis e as responsabilidades de cada indivíduo. Por exemplo, não seria produtivo reunir uma sala com 40 pessoas, incluindo desde o técnico júnior até o presidente. Seria praticamente impossível mitigar o problema de forma eficiente.
A solução é dividir as responsabilidades por camadas, com a equipe técnica em uma sala, a liderança em outra, e o conselho executivo em outra, cada um com seu papel bem definido. Isso facilita a comunicação e permite que decisões críticas, como desligar um servidor, sejam tomadas de forma eficaz.
No entanto, a aplicação deste modelo apresenta desafios. O principal deles é controlar a ansiedade de todos, especialmente daqueles que estão no topo da hierarquia. Exige maturidade e autocontenção para que cada um permaneça em seu papel, aguardando as informações corretas para tomar decisões assertivas.
Como responder rapidamente a um incidente de segurança?
A abordagem de divisão de responsabilidades entre salas distintas é amplamente apoiada por especialistas da área. Eles argumentam que salas de guerra superlotadas geralmente causam problemas, principalmente quando o diretor e o técnico não falam a mesma linguagem. Portanto, é fundamental que alguém, como o CISO, seja responsável por facilitar a comunicação entre as partes, garantindo que cada decisão tomada seja a mais adequada para a situação.
Segurança Cibernética: um fator crucial na tecnologia da informação
O universo das tecnologias da informação (TI) é um espaço vasto e complexo, onde a segurança e a gestão de riscos estão profundamente interligadas. Não é possível dissociar uma da outra. Ambas formam um ecossistema que garante a proteção da infraestrutura digital e da informação vital para a organização.
Ao examinar o papel dos gestores de segurança e dos times, encontramos uma função crucial na comunicação da importância da segurança à empresa e ao board. Cabe a eles tornar o conceito de segurança mais claro e compreensível, transmitindo a importância dessa temática na linguagem dos stakeholders envolvidos.
A relação entre a equipe técnica de segurança cibernética e o conselho diretivo também sofreu mudanças significativas. Segundo o relatório “Cyber Security Outlook” do Fórum Econômico Mundial, essa lacuna vem diminuindo. A aproximação abre caminho para uma comunicação mais eficaz e com melhor compreensão das necessidades e desafios de cada parte.
Para se aprofundar mais no assunto, baixe o nosso material de apoio e leia onde quiser!
Resolução de incidentes: gestão de riscos
Dentro do universo da segurança cibernética, a gestão de riscos é um elemento fundamental. Existem várias técnicas e frameworks disponíveis para implementá-la, mas a essência é a mesma: a análise de impacto x probabilidade. Este é um processo que pode ajudar as organizações a tomar decisões mais informadas e a evitar prejuízos significativos.
A evolução do cenário de segurança cibernética trouxe à tona diversas estratégias e abordagens para proteger as organizações. Dentre elas, duas merecem destaque: a conscientização dos funcionários e o conceito de Zero Trust.
Conscientização dos funcionários e Zero Trust: as estratégias essenciais para proteger sua empresa
A conscientização dos funcionários é crucial para evitar brechas de segurança que podem ocorrer devido ao erro humano. “A conscientização sobre segurança é outro aspecto que deve ser enfatizado. Isso é algo relativamente barato para implementar, comparado a outras medidas de segurança. No entanto, é uma ferramenta poderosa para prevenir muitos ataques.” Já o Zero Trust é um modelo de segurança que considera todas as entidades – internas ou externas – como potenciais ameaças, reduzindo assim a probabilidade de ataques bem-sucedidos. Dentro do conceito de Zero Trust, a microssegmentação e o princípio de menor privilégio são fundamentais. Estes princípios garantem que os usuários tenham apenas as permissões necessárias para realizar suas tarefas, minimizando o potencial dano de um ataque.
Nenhuma estratégia de segurança cibernética estaria completa sem uma consideração adequada da proteção externa. Isso envolve salvaguardar a face pública da empresa, que está exposta a possíveis ataques. A importância desta etapa foi destacada pelo caso do GitHub, que enfrentou o maior ataque DDoS da história, mas conseguiu se manter graças à proteção de um proxy reverso.
As consequências de falhas na segurança cibernética podem ser devastadoras. Empresas como a Diginotar, que era uma autoridade certificadora, sofreram danos irreparáveis à sua imagem e reputação devido a falhas na segurança. Esta experiência destaca a necessidade de um cuidado meticuloso com tudo que é exposto externamente.
“Acredito que um dos principais problemas atuais na segurança cibernética é que muitas empresas falham no básico. Manter atualizações de segurança, patches e gestão de vulnerabilidades são práticas fundamentais, que conhecemos desde o início da segurança da informação. Porém, implementar isso na prática é uma tarefa complexa, pois não se trata de um projeto, mas de um processo contínuo. Diversos casos de ataques ransomware ocorreram por falhas já conhecidas e com correções disponíveis que simplesmente não foram aplicadas. Portanto, é imprescindível manter esses processos, não se pode substituí-los por outras soluções mais complexas, como firewalls de camada 7 ou WAFs, se o básico não está sendo feito. Isso já provê uma boa segurança e, certamente, evita muitos problemas”, conclui Malta.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow direto no seu email.