Sabemos que existem diversos processos e procedimentos que podem ser utilizados para o plano de resposta a incidentes de segurança na sua organização. Também sabemos que esta temática nem sempre é algo que desperte muito interesse nos demais departamentos de uma empresa, tornando-se um desafio aos departamentos de TI/Cibersegurança transmitir a sua real importância e impacto a todos.

Atualmente, pensar em segurança do sistema de informação tornou-se essencial para as organizações, independentemente da sua dimensão, indústria ou mercado de atuação. É uma componente vital das empresas e que deve ser levada a sério por todos.

Tendo em conta este contexto, este artigo tem como objetivo resumir e simplificar algumas premissas importantes sobre o desenvolvimento de um plano de processos de resposta a incidentes de segurança.

Então, o que é um processo de resposta a incidentes?
Especificamente, um processo de resposta a incidentes é um conjunto de procedimentos destinados a identificar, investigar e responder a possíveis incidentes de segurança de uma maneira que minimize o impacto e rápido suporte à recuperação. No final do dia, é um processo de negócio, pois permite que a sua organização mantenha, tanto quanto possível e com o menor impacto possível, as suas habituais atividades.

Qual é a diferença entre “processo” e “procedimento” de resposta a incidentes?
Embora estes termos sejam frequentemente usados de forma intercambiável, possuem significados diferentes. Um processo de resposta a incidentes é o ciclo de vida de uma investigação ao incidente, enquanto o procedimento de resposta a incidentes é a tática específica na qual a equipa estará envolvida durante um processo de resposta ao incidente.

Premissas e Preparação - O que devemos considerar antes de iniciar o plano?
Antes de pensar nos procedimentos específicos de resposta a incidentes, a sua organização precisa de se preparar, sugerimos que considere, entre outras, as seguintes premissas:

1. PRIORIZAÇÃO DE ATIVOS
Listar ativos e impacto: É importante pensar em quais são os servidores, aplicações, utilizadores, redes e sistemas que são essenciais para manutenção do trabalho diário, ou seja, quais os ativos que poderiam gerar algum tipo de prejuízo/impacto no negócio caso sofressem um ataque ou ficassem offline por um determinado tempo. Para além dos recursos, a mesma análise deve ser feita, para o tipo de dados disponibilizados nessas ferramentas e qual é o potencial impacto caso estas informações sejam obtidas por terceiros não autorizados.
Quantifique os valores dos ativos com a maior precisão possível, pois isso ajudará a justificar o orçamento de Segurança e TI.
2. PADRÕES DE TRÁFEGO
Capture padrões de tráfego e linhas de base de forma a criar uma imagem precisa do que se considera como "normal". A sua equipa precisará dessa base para detetar anomalias que possam indicar um possível incidente.
3. CONECTE, COMUNIQUE E COLABORE
Reúna-se com a liderança executiva, partilhe a sua análise da atual postura de segurança da organização, reveja as tendências do setor, as principais áreas de preocupação e suas recomendações. Defina expectativas sobre o que a equipa fará, juntamente com o que outras organizações estão a fazer, bem como o que esperar em termos de comunicações, métricas e contribuições. Descubra a melhor maneira de trabalhar com as equipas jurídicas, recursos humanos e comerciais para acelerar solicitações durante procedimentos essenciais de resposta a incidentes.

Nos próximos meses iremos dar continuidade a uma série de artigos sobre Comunicar, Responder e Prevenir no contexto de segurança dos sistemas de informação e cibersegurança.
Fique atento aos nossos principais canais de comunicação para apreender mais sobre tendências e boas práticas neste segmento de atuação.