Com o avanço da tecnologia e a revolução na era da informação, a preocupação com a segurança dos dados tem se tornado cada vez mais constante para negócios, governos e usuários. Uma vez que os dados são ativos fundamentais para o crescimento das empresas, investir em proteção é indispensável nas rotinas das organizações.

Na medida em que as ameaças e crimes cibernéticos aumentam, é preciso intensificar os esforços, implantando medidas de segurança eficazes. Então, surge a necessidade de ter dentro da empresa, independentemente do setor, uma equipe especializada em proteção de dados, que trabalhe constantemente na segurança de informações, contando com um Plano de Resposta a Incidentes (IRP).

Assim, a equipe pode prever as ameaças e desenvolver as melhores ações para combatê-las de forma imediata, sem prejudicar os negócios da empresa. Portanto, é preciso garantir que esse plano de respostas funcione corretamente seguindo as etapas fundamentais, e seja bem gerenciado.

Neste artigo, explicamos o que é um plano de respostas a incidentes, seus benefícios e os aspectos importantes na sua montagem. Nosso texto está dividido nos seguintes tópicos:

• O que é um plano de respostas a incidentes (IRP)?
• Por que a resposta a incidentes é importante?
• Entenda as seis etapas de um IRP
• Incidentes de segurança cibernética mais comuns
• Aspectos importantes da montagem do IRP
• Quem é a equipe responsável pelo IRP?
• Qual é a relação entre um plano de resposta a incidentes e um plano de recuperação de desastres?
• Qual a relação entre um plano de resposta a incidentes e um plano de continuidade de negócios?
• Sobre o senhasegura
• Conclusão

Boa leitura!

O que é um plano de respostas a incidentes (IRP)?

O IRP é um documento formal no qual consta um conjunto de ferramentas e procedimentos que devem ser adotados pela equipe de TI a fim de lidar com problemas de segurança da empresa. O objetivo dessas medidas é trabalhar na prevenção, identificação, eliminação e recuperação das ameaças cibernéticas.

Além disso, elas garantem que as ações sejam tomadas o mais rápido possível, minimizando os eventuais danos ao negócio, que podem incluir a perda de dados, prejuízos financeiros e de confiabilidade de clientes, fornecedores, parceiros e funcionários.

Agora você já sabe o que é um plano de respostas a incidentes. Continue lendo nosso artigo e entenda porque a resposta a incidentes é importante.

Por que a resposta a incidentes é importante?

Uma empresa que possui um IRP está mais preparada para lidar com a diversidade de situações relacionadas à segurança das suas informações. As práticas recomendadas no plano ajudam a empresa a prever e combater várias ameaças de modo assertivo.

Ao adotar essas práticas, a organização garante maior segurança de suas informações, previne o pagamento de sanções sobre os custos de recuperação de dados e evita perdas financeiras. Veja a seguir outros fatores que mostram porque a resposta a incidentes é importante.

Maior segurança dos dados

A implantação de sistemas de proteção e backup, correção e gerenciamento de acesso, bem como o manejo correto das informações geram ações mais rápidas de proteção e contenção dos incidentes.

Redução de custos

Os custos para combater os incidentes podem ser altos, devido às sanções regulatórias, compensações ou os custos gerais da investigação e restauração dos sistemas.

Um IRP ajuda a reduzir esses custos, já que atua de forma constante na prevenção dos problemas. Além disso, os prejuízos também são minimizados, já que além da redução das despesas, o tempo de inatividade dos sistemas também diminui, limitando a perda de dados.

Mantém e aumenta a reputação da empresa

Sem a implantação de um IRP, o controle e combate às ameaças fica mais difícil, o que pode acarretar em perdas. Isso porque os incidentes não afetam apenas a parte técnica da empresa, mas estão diretamente relacionados à continuidade dos negócios.

Violações constantes dos dados de uma organização diminuem sua credibilidade. Além disso, podem haver perdas de investidores e acionistas por não acreditarem em um negócio falho e de fácil violação. Por outro lado, respostas rápidas e eficazes aos incidentes demonstram maior compromisso da organização com a segurança e privacidade dos dados, o que aumenta sua credibilidade e reputação.

Entenda as seis etapas de um IRP

Para obter sucesso em um IRP, é necessário seguir alguns passos fundamentais e que sejam bem gerenciados. O plano padrão com esses passos toma como base o Incident Handler?s Handbook ou Manual de Tratamento de Incidentes, publicado pelo Instituto SANS.
É um documento com seis etapas a serem seguidas na construção do plano. São eles:

1. Preparação

O primeiro passo na implantação do plano é a definição de uma equipe específica para trabalhar com os incidentes. A equipe será responsável por criar a documentação das ocorrências, contendo os protocolos a serem seguidos na execução das ações do plano.

É preciso treinar o pessoal destacado para lidar com essas situações seguindo as políticas de segurança da empresa. Isso ajuda a entender exatamente os riscos aos quais o negócio está exposto e as medidas preventivas a serem tomadas em diferentes situações.

Uma ação importante é criar contextos de simulação de resposta a incidentes periodicamente, a fim de verificar a eficácia do plano e aprimorá-lo em caso de necessidade.

2. Identificação

A equipe responsável deve trabalhar na detecção de desvios das operações, buscando identificar os incidentes e definir sua gravidade.

Nessa detecção, são documentados o tipo e a gravidade do problema, bem como todos os procedimentos que estão sendo realizados a respeito. A formalização desse incidente deve responder às perguntas:

• Quem?
• O quê?
• Onde?
• Por quê?
• Como?

3. Contenção

Após a identificação do incidente, o próximo passo da equipe é trabalhar na contenção, com o intuito de evitar futuros danos da mesma natureza. Essa contenção é dividida em procedimentos de curto e longo prazo.

A contenção de curto prazo trabalha na solução imediata do problema, tentando impedir os possíveis danos do ataque, enquanto a de longo prazo engloba ações mais complexas, que envolvem o restabelecimento de todo o sistema corporativo, visando seu retorno à normalidade.

Além das estratégias de curto, médio e longo prazo, é importante contar com um backup redundante dos arquivos para não perder dados necessários ao seu negócio.

4. Erradicação

Após a contenção do problema, as ações de erradicação são iniciadas. Nessa etapa, o enfoque é dado à remoção total da vulnerabilidade e às medidas necessárias para evitar a repetição do problema.
Essas ações podem envolver uma mudança nos mecanismos de autenticação, como senhas e permissões de acesso ou até mesmo uma restauração de todos os sistemas da empresa que foram afetados. O nível do incidente e a ação mais assertiva serão definidos a partir de indicadores métricos ou KPIs.

5. Recuperação

Nessa etapa, a equipe trabalha na verificação e correção de ameaças que podem ter passado despercebidas na etapa anterior, ou seja, os resquícios do incidente. Uma ação de varredura e o transporte de cópias de segurança em sistemas de nuvem podem ser algumas das medidas necessárias nesse processo.
Além disso, a equipe avalia o desempenho da etapa anterior, analisando o tempo de resposta, os danos causados e a execução das tarefas, para que sejam apontados os novos rumos a serem seguidos.

6. Lições aprendidas

Para que a equipe esteja preparada para futuros problemas e diminua os eventuais erros, é preciso que seja registrado todo o processo de contenção realizado, incluindo os incidentes e os procedimentos para combatê-los.

É uma etapa muito importante, já que documenta todo o processo e fornece um histórico das ocorrências para auxiliar ações futuras. É também nessa etapa que se avaliam os erros e os acertos, os quais prejudicaram o desenvolvimento das ações ou as potencializaram.

Incidentes de segurança cibernética mais comuns

Existem muitos tipos de incidentes de segurança comuns, considerados mais ou menos críticos, conforme a decisão organizacional e o perfil da empresa. Confira alguns a seguir:

Violações de dados

Uma violação de dados acontece quando a empresa enfrenta um incidente de segurança relacionado às informações que estão sob sua responsabilidade, comprometendo a confidencialidade, a disponibilidade ou a integridade desses dados.

Quando isso ocorre, é necessário notificar as autoridades de controle o mais rápido possível, bem como as pessoas afetadas, além de aplicar as medidas técnicas apropriadas.

Vazamentos de dados

Vazamento de dados é um cibercrime planejado e executado por hackers, que acessam e expõem, sem autorização, dados confidenciais de pessoas e organizações.

Na prática, o atacante malicioso invade um banco de dados e vende as informações encontradas na deep web ou as utiliza para ameaçar suas vítimas.

Ransomware e outros tipos de malware

Por meio do ransomware, os agentes maliciosos sequestram os dados armazenados nos dispositivos de suas vítimas, de modo que não tenham mais acesso a essas informações. Desta forma, cobra um valor pelo resgate, geralmente, utilizando as criptomoedas.

Com essa forma de atuação, dificilmente o cibercriminoso será rastreado e o usuário só terá acesso aos seus dados se pagar o valor exigido.

Espionagem corporativa

A espionagem corporativa é realizada em empresas e indústrias com o propósito de obter acesso a dados sigilosos, como segredos industriais, planos estratégicos, informações bancárias ou sobre os clientes da organização, garantindo vantagens competitivas.

Falhas OPSEC

O OPSEC é um processo de gerenciamento de segurança que possibilita à equipe de TI visualizar informações e sistemas sob a perspectiva de potenciais invasores, para classificar as informações e protegê-las.

Porém, para que essa estratégia de proteção seja efetiva, é necessário implementar determinadas práticas, como garantir acessos com menos privilégios.

Falsificação de e-mail

Usuários maliciosos podem adulterar e-mails e se disfarçar como remetentes legítimos para aplicar ataques de phishing.

Para isso, costumam alterar informações do cabeçalho da mensagem ou incluir erros de digitação no domínio, mas também podem se apresentar como um domínio legítimo ou um endereço aleatório, sem referência ao domínio.

Sequestro de domínio

Outra forma de atuação dos hackers é o sequestro de domínio, que consiste em tomar o domínio de uma empresa por meio da falsificação da autorização de transferência. Para prevenir esse problema, é aconselhável manter o domínio da sua empresa bloqueado.

Ataques man-in-the-middle

Nesse tipo de ataque, o hacker se posiciona entre a vítima e uma instituição verdadeira, interceptando as mensagens e se passando pela entidade posteriormente.

Engenharia social como phishing e spear phishing

A engenharia social é uma técnica utilizada por hackers, que manipulam suas vítimas para obterem acesso a dados confidenciais.

No caso do phishing, o usuário é levado a acreditar que está em contato com uma instituição legítima. Já o spear phishing é uma versão direcionada aos profissionais que atuam em uma empresa e recebem pedidos de criminosos se passando por alguém da organização.

Exploits de vulnerabilidades listadas no CVE

Commom Vulnerabilities and Exposures (CVE) consiste na iniciativa conjunta de diversas empresas de tecnologia e segurança, que listam as principais vulnerabilidades e riscos enfrentados no ambiente virtual.

Na prática, o CVE nasceu como uma espécie de guia que tem como objetivo ajudar a controlar a segurança digital de uma organização.

Os exploits são programas ou códigos desenvolvidos para se aproveitarem dessas vulnerabilidades listadas no Commom Vulnerabilities and Exposures, bem como de outros riscos cibernéticos.

Typosquatting

No Typosquatting, os atacantes maliciosos registram domínios com nomes mal soletrados de sites conhecidos, a fim de induzir os usuários a divulgar dados pessoais, como o cartão de crédito.

Negação de serviço (DoS)

Nos ataques de negação de serviço (DoS), os hackers buscam sobrecarregar uma propriedade web com tráfego, interrompendo o funcionamento normal de um computador ou outro dispositivo.

Todos os incidentes da lista acima são muito comuns e requerem medidas de segurança previstas em um plano de resposta a incidentes. Além disso, é fundamental ter em mente que pequenas ocorrências podem abrir vetores de ataques, por isso, devem ser acompanhados em tempo real.

Outra preocupação que a equipe de segurança deve ter relaciona-se aos fornecedores terceirizados, que podem representar um risco para a empresa, na medida em que acessam dados confidenciais.

Nesse sentido, a recomendação é que sua empresa conte com uma política de gerenciamento de fornecedor, que possibilite avaliar o nível de segurança digital dos mesmos e gerenciar riscos de terceiros. Você pode ainda contratar fornecedores com certificação SOC 2 e ISO 27001, e pedir para conhecer sua política de segurança da informação.

Aspectos importantes da montagem do IRP

Cumprir as etapas do IRP é fundamental para o seu sucesso. Porém, a empresa precisa estar ciente de que não é um processo fixo e que deve ser adaptado à estrutura da organização. Daí a importância de balanços periódicos para avaliar constantemente o plano, eliminar lacunas e adotar as devidas melhorias.

Para a implementação do plano, não é necessário ter uma equipe grande de profissionais, mas é fundamental que todos sejam devidamente qualificados, instruídos e que disponham de boas ferramentas para garantirem os melhores resultados possíveis na execução das atividades.

Também é preciso que outros setores passem por um treinamento para que tomem conhecimento das políticas de segurança da empresa e saibam como proceder diante dos incidentes e como reportá-los à equipe responsável.

Quem é a equipe responsável pelo IRP?

Conforme já sugerimos, é de extrema importância que as empresas contratem equipes qualificadas para lidar com incidentes cibernéticos. Esse grupo pode contar com os seguintes profissionais:

Gerente de resposta a incidentes

Esse profissional é responsável por supervisionar o plano de respostas durante a identificação, contenção e recuperação de um incidente. Além disso, pode ser o responsável por comunicar incidentes graves para outros profissionais da empresa.

Analistas de segurança

Sua função é trabalhar com os recursos atingidos durante um incidente cibernético, além de implantar e manter controles técnicos e operacionais.

Pesquisadores de ameaças

Essa função, geralmente terceirizada pelas empresas, fornece inteligência de ameaças, podendo utilizar soluções específicas e a internet para compreendê-las. Sendo assim, é possível contar com ferramentas que permitam monitorar automaticamente vazamento de dados, políticas de segurança de fornecedores e terceiros, e credenciais de vazamento.

Vale ressaltar que, para a equipe de segurança ter uma atuação eficaz, é necessário contar com o apoio das lideranças e de outros departamentos da organização.

Afinal, são os líderes que viabilizam investimentos necessários à área de segurança e o corpo jurídico têm a função de esclarecer questões legais relacionadas ao vazamento e violação de dados.

Já o setor de recursos humanos pode ajudar a remover as credenciais de funcionários em caso de ameaças internas, enquanto o setor de relações públicas garante a precisão das mensagens enviadas à mídia, clientes etc.

Qual é a relação entre um plano de resposta a incidentes e um plano de recuperação de desastres?

Um plano de recuperação de desastres é um documento que prevê medidas a serem adotadas pelas organizações em casos de incidentes como ataques cibernéticos, quedas de energia e desastres naturais.

Esse conjunto de estratégias minimiza os danos causados pelo incidente e evita que a empresa permaneça inoperante devido ao desastre.

Já o plano de resposta a incidentes tem como função identificar um evento de segurança e encerrá-lo. Sendo assim, o plano de recuperação de desastres e o plano de resposta a incidentes devem complementar um ao outro.

Qual a relação entre um plano de resposta a incidentes e um plano de continuidade de negócios?

Outro documento associado ao plano de resposta a incidentes é o plano de continuidade de negócios. Suas funções são similares: amenizar os impactos de incidentes e manter o negócio operando, mas apresentam algumas diferenças.

O plano de resposta a incidente, via de regra, garante mais visibilidade, e tem como foco eventos de segurança que afetem diretamente a integridade dos dados, da rede e exposição à violação. Por outro lado, o plano de continuidade de negócios aborda diferentes ameaças enfrentadas pela organização, estejam elas relacionadas a funcionários, ativos ou desastres naturais.

Sobre o senhasegura

O senhasegura integra o MT4 Tecnologia, grupo de empresas focadas em segurança da informação fundado em 2001 e atuante em mais de 50 países.

Seu principal objetivo é assegurar soberania digital e segurança aos seus clientes, concedendo o controle de ações e dados privilegiados e evitando roubo e vazamento de informações.

Para isso, acompanha o ciclo de vida do gerenciamento do acesso privilegiado por meio da automação de máquinas, antes, durante e após os acessos. O senhasegura também busca:

• Evitar interrupções das atividades das empresas, que possam prejudicar o desempenho do negócio;
• Auditar automaticamente o uso de privilégios;
• Auditar automaticamente alterações privilegiadas a fim de identificar abusos de privilégio;
• Oferecer soluções avançadas de PAM;
• Reduzir riscos cibernéticos;
• Colocar as organizações em conformidade com critérios de auditoria e com padrões como HIPAA, PCI DSS, ISO 27001 e Sarbanes-Oxley.

Conclusão

Neste artigo, você viu que:

• Um IRP é um documento que contém um conjunto de ferramentas e procedimentos que a equipe de TI deve adotar para lidar com problemas de segurança;
• Uma empresa que possui um IRP está mais preparada para lidar com a diversidade de situações relacionadas à segurança das suas informações;
• Outros fatores que mostram porque a resposta a incidentes é importante são: maior segurança dos dados, redução de custos e melhora da reputação da empresa;
• Saber o que é o que é um plano de resposta a incidentes envolve compreender suas seis etapas. São elas: preparação, identificação, contenção, erradicação, recuperação e lições aprendidas;
• Existem muitos tipos de incidentes de segurança comuns, considerados mais ou menos críticos, conforme a decisão organizacional e o perfil da empresa;
• Todos eles requerem medidas de segurança previstas em um plano de resposta a incidentes;
• Para a implementação do plano, é necessário contar com profissionais qualificados, treinados e que disponham de boas ferramentas;
• Esses profissionais podem assumir as seguintes funções: gerente de resposta a incidentes, analistas de segurança e pesquisadores de ameaças;
• O plano de recuperação de desastres e o plano de resposta a incidentes devem complementar um ao outro;
• O plano de continuidade de negócios apresenta funções similares ao plano de respostas a incidentes.

Gostou do nosso artigo que mostra o que é um plano de resposta a incidentes? Então compartilhe este texto com outra pessoa que possa se interessar pelo tema.

LEIA TAMBÉM NO BLOG DO SENHASEGURA
ISO 27001: 4 motivos para implantar na sua empresa
O que fazer para evitar ataques de Engenharia Social?
As 5 maiores ameaças cibernéticas para organizações de saúde