A resposta de incidentes de segurança cibernética equipe a nova equipe de negócios vital
NotíciaVivemos e fazemos negócios em um mundo repleto de riscos cibernéticos. Todos os dias, as empresas e os consumidores são alvo de ataques de sofisticação variável, e é cada vez mais evidente que todos são considerados um jogo justo. Organizações de todos os tamanhos e indústrias estão sendo vítimas, e o risco cibernético está rapidamente se tornando uma das ameaças mais comuns.
Quando ocorrem rupturas de ataques cibernéticos ou outros incidentes de dados, eles não apenas têm um impacto financeiro direto, mas um efeito contínuo sobre a reputação. Por exemplo, a Carphone Warehouse foi vítima de um ataque cibernético em 2015, que resultou no comprometimento de dados pertencentes a mais de três milhões de clientes e 1.000 funcionários. Embora sofresse perdas financeiras com os custos de reparação, que incluíam uma multa de £ 400.000 do Gabinete do Comissionado da Informação (ICO), também levava os consumidores a questionar se seus dados eram realmente seguros com o varejista e se era simplesmente mais seguro fazer compras em outro lugar. Essa perda na confiança do consumidor é incrivelmente difícil de recuperar, particularmente em um momento em que as queixas podem ser transmitidas nas mídias sociais e compartilhadas centenas ou milhares de vezes..
Para aumentar ainda mais o seu escrutínio, em junho de 2018, sua empresa-mãe - Dixons Carphone - revelou ter sido vítima de um ataque cibernético iniciado em julho de 2017. Hackers acessaram 5,9 milhões de cartões bancários e 1,2 milhão de registros de dados pessoais, com o ataque considerado grave o suficiente para instigar uma investigação do GCHQ. Embora a Dixons Carphone tenha declarado que o incidente não estava relacionado ao de 2015, as marcas estão tão alinhadas que a Carphone Warehouse foi mais uma vez associada a uma grande violação..
As empresas são julgadas pela sua resposta a incidentes
Evitar ataques cibernéticos é mais difícil com a crescente sofisticação dos ataques, superando a tecnologia usada para se defender deles. Além disso, as empresas estão sendo avaliadas - por consumidores e reguladores - sobre como elas respondem. A rapidez com que notificam as partes interessadas relevantes, as informações e os conselhos fornecidos, bem como a eficiência com que podem suprir a lacuna, têm efeito sobre o nível de consequências financeiras e reações adversas enfrentadas. Esses fatores apontam para a necessidade imperiosa de que as empresas tenham uma equipe pró-ativa de resposta a incidentes de segurança cibernética (CSIRT)..
Organizado por especialistas de toda a empresa, ele será bem treinado por meio de testes e planejamento extensivos e regulares, permitindo que ele aja imediatamente para a resposta adequada a incidentes de crescente sofisticação e complexidade..
Outro benefício de tal equipe é que os testes regulares proativos permitem que as empresas identifiquem quaisquer vulnerabilidades existentes para que possam ser conectadas antes que sejam exploradas de maneira mal-intencionada. À medida que as empresas crescem e evoluem, redes e processos mudam, então os testes precisam ser um esforço contínuo para garantir que a resiliência cibernética permaneça alta.
Colocando a CSIRT em funcionamento
Há algumas considerações importantes a serem feitas antes de iniciar um programa. Isso inclui questões operacionais e técnicas - como garantir o equipamento necessário - além de determinar os recursos e o financiamento necessários para as equipes recém-formadas. As empresas também devem garantir que as equipes existentes não sejam deixadas em desvantagem e ainda sejam capazes de cumprir suas responsabilidades..
Como acontece com qualquer equipe, a eficácia do CSIRT aumenta muito quando ele tem um objetivo definido. Quando todos dentro da equipe são claros sobre seu papel, é mais fácil para eles seguirem na mesma direção. As equipes devem ser estruturadas de forma a dar responsabilidade e responsabilização a cada membro, mas também define quem tem a palavra final..
Durante as fases de planejamento, também é essencial remover quaisquer áreas de duplicação. Re-fazer atividades e processos é um desperdício de recursos e simplesmente atrasa o tempo necessário para alcançar o resultado desejado. As empresas podem identificar onde existem sobreposições e lacunas, realizando análises sobre seus atuais programas de resposta cibernética. Isso também trará à luz as atuais capacidades de resposta a incidentes da empresa, a eficácia das fontes de alerta existentes, bem como a determinação de quaisquer restrições.
Selecionando o time mais efetivo
Idealmente, o CSIRT deve consistir de funcionários de toda a empresa para garantir que haja uma boa disseminação de conhecimentos especializados e que os requisitos de todas as partes interessadas relevantes possam ser atendidos..
Um componente vital deve ser um gerente de negócios. Eles operam na linha de frente do negócio e são responsáveis pelo gerenciamento das atividades e dos funcionários da empresa. Caso um incidente seja tão grave que os sistemas críticos precisem ser desligados para mitigar mais danos, ter um gerente de negócios a bordo ajudará a empresa a determinar o impacto do tempo de inatividade.
O conhecimento técnico deve ser fornecido por um representante da equipe de TI. É importante que diretrizes claras sejam definidas sobre como a equipe de TI e a CSIRT devem interagir e as ações a serem tomadas em cada uma delas durante as operações de resposta. Se o CSIRT exigir acesso a logs de rede e sistemas para fins de análise, o nível de acesso e visibilidade deve ser esclarecido.
O resultado de qualquer incidente de perda de dados pode resultar em procedimentos legais, portanto, é vital que um membro da equipe jurídica esteja presente para determinar a responsabilidade. Com sua especialização, eles também serão essenciais para proteger a empresa, revisando os acordos de não divulgação e desenvolvendo a redação apropriada para entrar em contato com outros sites e organizações..
Outros membros devem consistir de especialistas em auditoria e gerenciamento de risco - já que as métricas de ameaças e avaliações de vulnerabilidade desempenharão um papel fundamental no planejamento da estratégia - assim como um representante de recursos humanos e relações públicas. O primeiro ajudará no desenvolvimento de descrições de cargos para contratar funcionários da CSIRT e elaborar políticas e procedimentos para a remoção de funcionários internos que se encontrem envolvidos em atividades de computador não autorizadas ou ilegais. Este último será responsável por lidar com as comunicações externas, lidar com quaisquer questões de mídia e ajudar a desenvolver declarações de imprensa e diretrizes para divulgação de informações..
Em última análise, em uma época em que as empresas que são vítimas de ataques cibernéticos são uma ocorrência diária, é essencial que as empresas tenham equipes proativas de resposta a incidentes que possam ajudar a diminuir a ameaça à reputação. As repercussões da violação estão em andamento e, se as empresas não puderem agir rapidamente para gerenciá-las, elas podem sair do controle. Um CSIRT bem preparado e cheio de conhecimentos de toda a empresa é uma ferramenta poderosa que aumenta drasticamente a resiliência cibernética. Quando a resposta a um incidente é escorregadia e bem planejada, a empresa em questão será vista de maneira mais favorável pelos órgãos reguladores e, mais importante, mitigará a grave queda na confiança do consumidor, que pode ser fatal para outras empresas menos preparadas..
Francês Caldwell, Chefe Evangelista, em MetricStream
- Confira também nosso resumo das melhores suítes de segurança de internet