Pesquisa de site

O que é um Plano de Resposta a Incidentes?

Um plano de resposta a incidentes é um conjunto de instruções escritas que descrevem a resposta da sua organização a violações de dados, vazamentos de dados, ataques cibernéticos e incidentes de segurança.

O planejamento de resposta a incidentes contém direções específicas para cenários de ataque específicos, evitando mais danos, reduzindo o tempo de recuperação e mitigando o risco de segurança cibernética.

Os procedimentos de resposta a incidentes se concentram no planejamento de violações de segurança e em como as organizações se recuperarão delas.

Sem um plano formal de RI em vigor, as organizações podem não detectar ataques ou podem não saber o que fazer para conter, limpar e prevenir ataques quando detectados.

Lembre-se de que técnicas como atribuição de IP nem sempre são úteis e sua organização pode não ser capaz de recuperar dados roubados e precisa saber o que fará nesse caso.

Por que o planejamento de resposta a incidentes é importante?

O planejamento de resposta a incidentes é importante porque descreve como minimizar a duração e os danos dos incidentes de segurança, identifica as partes interessadas, simplifica a análise forense digital, melhora o tempo de recuperação, reduz a publicidade negativa e a rotatividade de clientes.

Mesmo pequenos incidentes de segurança cibernética, como uma infecção por malware, podem se transformar em problemas maiores que, em última análise, levam a violações de dados, perda de dados e interrupção das operações comerciais.

Um processo adequado de resposta a incidentes permite que sua organização minimize perdas, corrija vulnerabilidades exploráveis, restaure sistemas e processos afetados e feche o vetor de ataque usado.

A resposta a incidentes abrange a preparação para ameaças cibernéticas desconhecidas e conhecidas, identificando de forma confiável as causas raiz de incidentes de segurança e recuperação de desastres pós-incidente.

Ele permite que as organizações estabeleçam as melhores práticas para o tratamento de incidentes e desenvolvam um plano de comunicação que pode envolver a notificação de autoridades policiais, funcionários e funcionários.

A resposta a incidentes é um componente crucial para prevenir incidentes futuros e administrar uma organização que processa dados confidenciais, como informações de identificação pessoal (PII), informações de saúde protegidas (PHI) ou biometria.

Cada evento de segurança pode ter um impacto de curto e longo prazo em sua organização. De acordo com a IBM e o Ponemon Institute, o custo médio de uma violação de dados em 2022 foi de US$4,35 milhões.

Além do custo, a continuidade dos negócios, a fidelidade do cliente e a proteção da marca são grandes preocupações, especialmente porque as organizações dependem cada vez mais de fornecedores terceirizados.

Embora seja impossível remover todos os problemas de segurança, um processo eficaz de resposta a incidentes pode mitigar os maiores riscos de segurança cibernética.

Saiba como criar um Plano de Resposta a Incidentes >

Quem é responsável pelo planejamento de resposta a incidentes?

As organizações devem formar uma equipe de resposta a incidentes de segurança de computadores (CSIRT) responsável por analisar, categorizar e responder a incidentes de segurança.

As equipes de resposta a incidentes podem incluir:

  • Gerente de resposta a incidentes: supervisiona e prioriza ações durante a detecção, contenção e recuperação de um incidente. Eles também podem ser obrigados a transmitir incidentes de alta gravidade para o resto da organização, clientes, aplicação da lei, regulamentos e o público, quando aplicável.
  • Analistas de segurança: apoiam e trabalham diretamente com os recursos afetados, bem como implementam e mantêm controles técnicos e operacionais.
  • Pesquisadores de ameaças: fornecem inteligência de ameaças e contexto sobre incidentes de segurança. Eles podem usar ferramentas de terceiros e a Internet para entender as ameaças atuais e futuras. As organizações geralmente terceirizam essa função se a experiência não existir internamente. Se esta for sua organização, procure ferramentas ou serviços que possam monitorar automaticamente credenciais de vazamento, vazamentos de dados e postura de segurança de fornecedores de terceiros e de terceiros.

Dito isso, a resposta eficaz a incidentes depende de membros da equipe multifuncional de resposta a incidentes de todas as partes da organização.

Sem as partes interessadas da liderança sênior, jurídica, de recursos humanos, segurança de TI e relações públicas, as equipes de resposta a incidentes podem ser ineficazes.

O apoio da liderança sênior é particularmente necessário para reunir os recursos, financiamento, equipe e tempo necessários de diferentes equipes. Pode ser um Chief Information Security Officer (CISO) ou Chief Information Officer (CIO) em uma grande organização ou até mesmo o CEO ou um membro do conselho em organizações menores.

A assessoria jurídica pode ajudar a organização a entender quais violações de dados devem ser relatadas aos reguladores e clientes, bem como conselhos sobre a responsabilidade por violações de dados de fornecedores terceirizados.

Quando um incidente é de uma ameaça interna, os recursos humanos podem ajudar na remoção de funcionários e credenciais de acesso.

Finalmente, as relações públicas são essenciais para garantir que uma mensagem precisa, consistente e verdadeira seja comunicada aos reguladores, mídia, clientes, acionistas e outras partes interessadas.

Quais são os diferentes tipos de incidentes de segurança?

Existem muitos tipos de incidentes de segurança e maneiras de classificá-los. Esta é em grande parte uma decisão organizacional, o que é considerado crítico em uma organização pode ser menor em outra. Dito isso, há uma série de incidentes cibernéticos comuns que toda organização deve estar ciente e planejar:

  • Ransomware e outros tipos de malware
  • Ataques man-in-the-middle
  • Engenharia social como phishing e spear phishing
  • Explorações de vulnerabilidades listadas em CVE
  • Espionagem corporativa
  • Falhas de OPSEC
  • Violações de dados
  • Vazamentos de dados
  • Falsificação de e-mail
  • Sequestro de domínio
  • Typosquatting
  • Negação de serviço (DoS)

Cada um desses incidentes de segurança é comum o suficiente para justificar um processo formal de resposta a incidentes e um plano de recuperação. Os analistas de segurança precisam estar cientes de que mesmo pequenos incidentes podem abrir novos vetores de ataque que levam a ataques maiores. É por isso que a inteligência de ameaças em tempo real é tão importante.

>

Outro incidente de segurança importante, muitas vezes negligenciado, são aqueles que envolvem seus fornecedores terceirizados e seus fornecedores. Isso é conhecido como risco de terceiros e risco de terceiros.

As equipes de segurança precisam entender o impacto que os fornecedores podem ter na postura de segurança de sua organização. Mesmo que terceiros não estejam realizando atividades comerciais críticas, eles ainda representam um risco significativo para o fornecedor.

Isso ocorre porque eles podem ter acesso a dados ou propriedades confidenciais, e sua organização pode ser responsável por suas falhas de segurança.

Evitar incidentes tem tanto a ver com o gerenciamento de riscos do fornecedor quanto com o gerenciamento de sua segurança interna de informações, segurança de dados, segurança de rede e gerenciamento de riscos de informações.

Procure fornecedores com garantia SOC 2, peça para ver sua política de segurança da informação e desenvolva uma política de gerenciamento de fornecedores que contenha uma estrutura de gerenciamento de riscos de terceiros que permita que sua organização realize facilmente avaliações de risco de segurança cibernética em fornecedores atuais e potenciais.

Quais ferramentas estão disponíveis para equipes de resposta a incidentes?

Existem ferramentas e padrões do setor que podem ser úteis para as equipes de resposta a incidentes. As ferramentas podem ser divididas em três categorias:

  1. Prevenção
  2. Detecção
  3. Resposta

Para prevenção, uma organização pode empregar um verificador de segurança e uma ferramenta de detecção de vazamento de dados para evitar que credenciais vazadas e outros dados confidenciais sejam expostos devido à baixa segurança do S3 ou à falta de gerenciamento de configuração.

A detecção pode ser coberta por software antivírus, sistemas de detecção de intrusão de rede, software de gerenciamento de incidentes e eventos de segurança (SIEM) ou um scanner de vulnerabilidade que verifica o CVE.

Uma ferramenta de resposta comum são os fluxos de trabalho de correção, onde as equipes de resposta a incidentes podem solicitar correção, rastrear e fechar vetores de ataque de terceiros.

Qual é o padrão da indústria para resposta a incidentes?

Existem duas estruturas que se tornaram padrão do setor, o Processo de Resposta a Incidentes do NIST e o Processo de Resposta a Incidentes do SANS.

O Processo de Resposta a Incidentes do NIST é composto por quatro etapas:

  1. Preparação
  2. Detecção e análise
  3. Contenção, erradicação e recuperação
  4. Atividade pós-incidente

Considerando que, o Processo de Resposta a Incidentes SANS é seis:

  1. Preparação
  2. Identificação
  3. Contenção
  4. Erradicação
  5. Recuperação
  6. Lições aprendidas

Como você pode ver, o NIST e o SANS têm todos os mesmos componentes e fluem com palavreado e agrupamento diferentes.

Quer você siga o NIST, SANS ou outro modelo de plano de resposta a incidentes, seu plano de RI deve:

  • Forneça uma visão geral
  • Identifique e descreva funções e responsabilidades
  • Ser adaptado aos riscos e necessidades específicas do negócio
  • Descreva o estado atual da segurança da informação, segurança de dados e segurança de rede
  • Tenha procedimentos claros de detecção e identificação
  • Especificar ferramentas, tecnologias e recursos necessários para contenção e erradicação
  • Descrever tarefas de recuperação e acompanhamento
  • Tenha um plano de comunicação
  • Seja bem testado
  • Tenha controle de versão ou uma seção para descrever quando e quem fez as revisões

Quais são as métricas pelas quais as equipes de resposta a incidentes devem ser medidas?

A resposta a incidentes é como qualquer aspecto de uma organização, o que é medido é gerenciado. O gerenciamento contínuo inclui definir e medir metas de resposta a incidentes, bem como testar periodicamente o plano de resposta a incidentes em exercícios de mesa para garantir que todas as partes interessadas estejam confortáveis com seus deveres e responsabilidades.

As métricas comuns incluem:

  • Sua classificação de segurança
  • Classificações de segurança da concorrência
  • Número de fornecedores
  • Classificação média de segurança do fornecedor
  • Distribuição das classificações de segurança do fornecedor
  • Fornecedores com classificação mais baixa
  • Fornecedores menos aprimorados
  • Fornecedores com classificação mais alta
  • Fornecedores mais aprimorados
  • Número de questionários de segurança enviados
  • Número de questionários de segurança recebidos
  • Riscos do fornecedor corrigidos
  • Número de incidentes detectados
  • Número de incidentes perdidos
  • Número de incidentes que exigem ações
  • Número de incidentes repetidos
  • Número de vetores de ataque conhecidos
  • Tempo médio de correção
  • Número de violações e vazamentos de dados
  • Postura média de segurança do fornecedor
  • Número de partes interessadas presentes nas reuniões de revisão do plano de resposta a incidentes
  • Número de partes interessadas presentes nos exercícios de mesa do plano de resposta a incidentes
  • Possível aquisição de software de segurança cibernética, por exemplo, software para automatizar o gerenciamento de riscos do fornecedor
  • Outras iniciativas de segurança, por exemplo, treinamento de conscientização sobre segurança cibernética, riscos de sites, segurança de e-mail, segurança de rede, malware e proteção de marca

Qual é a diferença entre um plano de resposta a incidentes e um plano de continuidade de negócios?

Embora um plano de resposta a incidentes e um plano de continuidade de negócios tenham objetivos semelhantes - minimizar o impacto de eventos imprevistos e manter os negócios funcionando - o planejamento de resposta a incidentes geralmente tem um nível mais alto de visibilidade.

Os planos de resposta a incidentes estão preocupados com incidentes de segurança e violações que afetam a segurança da informação, a segurança da rede e a segurança dos dados.

Os planos de continuidade de negócios se concentram na criação de um sistema para prevenir e se recuperar de possíveis ameaças a uma empresa, sejam pessoal, ativos ou desastres naturais.

É por isso que a maioria das organizações tem dois documentos separados para resposta a incidentes e continuidade de negócios, que geralmente fazem referência um ao outro.

O UpGuard BreachSight pode ajudar a monitorar o DMARC, combater o typosquatting, evitar violações e vazamentos de dados, evitar multas regulatórias e proteger a confiança do cliente por meio de classificações de segurança cibernética e detecção contínua de exposição.

O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta gerenciando relacionamentos com terceiros, automatizando questionários de fornecedores e monitorando continuamente a postura de segurança de seus fornecedores ao longo do tempo, comparando-os com seu setor.

Artigos relacionados