A adoção de sistemas para prevenir brechas é o início da construção de um ecossistema de defesa completo dentro da infraestrutura de sua companhia. O que antes era um pensamento revolucionário tornou-se sabedoria convencional: as violações de segurança são inevitáveis. De acordo com um estudo da FireEye, 96% de implementações de defesa foram violadas em empresas provindas dos mais variados segmentos, 27% delas infectadas com malwares avançados, o que faz com que as organizações de segurança concentrem mais recursos na construção de suas defesas e no desenvolvimento de plano de resposta para contrariar os atacantes que ignoram estes fatores.
O cenário da ameaça requer uma estratégia detalhada de resposta a incidentes, o qual compreende três passos fundamentais: detecção, (a própria) resposta e experiência para execução.
Uma vez que há o plano de resposta, a companhia precisa ter certeza de que possui as tecnologias de segurança e conhecimentos adequados para apoiá-lo, os quais compreendem a visão completa dos recursos de TI, capacidades de detecção precisas e rápido tempo de reação. Estes recursos são combinados com a prática constante da equipe, que também deve acompanhar métricas múltiplas para medir o grau de funcionamento dele. A partir desta visibilidade, os ajustes são realizados para que se tenha mais sucesso no próximo incidente – e no próximo e no próximo, e assim por diante.
Ao observar muitos casos, aprendemos que as empresas têm um plano de resposta a incidentes excelente no papel, mas que não se aplica à realidade. Este não pode ser apenas um manual guardado em uma prateleira. Ao contrário: é uma estratégia acordada por todos, a qual pode – e deve – evoluir ao longo do tempo, assim como ser ensaiada com frequência e ser posta imediatamente em prática ao descobrir que há um invasor em sua rede, de modo a minimizar os danos não apenas à infraestrutura como à marca e aos clientes.
O plano de resposta bem-executado compreende seis áreas fundamentais dentro de uma organização. Por isso, antes de ser colocado em prática, estes aspectos devem ser avaliados e contemplados no plano de resposta:
Governança
A estrutura organizacional está alinhada com a organização global de negócios e declaração de missão. A política e orientação de segurança são claras e protegem sistemas críticos e compartilhamento de informações entre entidades internas e externas.
Comunicação
Mecanismos e processos promovem o compartilhamento eficaz de informações entre as entidades externas.
Visibilidade
Tecnologias e processos mantêm as organizações conscientes das atividades que ocorrem nos sistemas e nas redes. Assim como os métodos pelos quais a equipe de resposta a incidentes informáticos (CIRT, sigla em inglês) continua ciente da ameaça e aplica essa compreensão para defender a infraestrutura crítica.
Inteligência
Capacidades de inteligência de ameaça cibernética permitem uma compreensão detalhada do adversário, como capacidades, técnicas e intenção. Informa e aprimora o planejamento de segurança, gerenciamento de vulnerabilidades e resposta de incidentes.
Resposta
Processo e tecnologias que a equipe de resposta a incidentes informáticos usa para identificar, categorizar, investigar e remediar os eventos adversos de segurança.
Métricas
Medidas objetivas da eficiência das pessoas, processos e tecnologia ao usar um sistema que pode ser facilmente rastreado e automatizado. Estas métricas focalizadas de resposta a incidentes estão ligadas às metas globais de negócios e segurança. Já os objetivos implicam na condução de melhoria contínua.
Este roteiro estabelece quais melhorias são necessárias com base no que trará maior retorno e impactará menos na sua postura de segurança da companhia. Afinal, como bem pontua o CEO da FireEye, Kevin Mandia, “reconhecer que as violações de segurança são inevitáveis não significam que você desistiu da luta”. Apenas significa que é necessário adotar uma pronta resposta, que evite futuros danos e permita o prosseguimento dos negócios normalmente.
* Leandro Roosevelt é country manager da FireEye no Brasil
