Como devem as organizações reagir após um ciberataque?
02 August, 2022
Nenhuma organização consegue prevenir ou remediar todos os ciberataques, mas pode implementar uma série de medidas que podem mitigar significativamente o respetivo risco, defende Hugo Bolé neste artigo de opinião.
Os ciberataques estão diariamente presentes nas notícias e, por isso, a questão deixou de ser se as organizações estão mais vulneráveis a um ataque informático ou a uma violação de dados, porque isso já é evidente, independentemente da sua dimensão ou área de negócios. A questão que se coloca é quando é que será o próximo ataque e de que forma é que as organizações se podem preparar para, por um lado, se protegerem e, por outro, como reagir após o ataque.
De facto, nenhuma organização consegue prevenir ou remediar todos os ciberataques, mas pode implementar uma série de medidas que podem mitigar significativamente o respetivo risco. Por exemplo, através da identificação e prevenção da maioria dos ciberataques e incidentes de segurança, bem como, através de uma limitação da abrangência e uma redução do impacto dos restantes ciberataques.
Para começar é necessário que as organizações preparem um plano de resposta em conformidade com uma metodologia testada e comprovada. Uma das metodologias com maior reconhecimento global é a Special Publication (SP) 800-61 Rev. 2 do National Institute of Standards and Technology (NIST), cuja publicação original remonta a 2004, conferindo-lhe uma maturidade de aproximadamente 18 anos. De forma sintética, esta metodologia é um guia de resposta a incidentes de segurança informática composto por quatro fases iniciais: preparação; deteção e análise; contenção, erradicação e recuperação; e, por fim, atividade pós incidente.
Nesta publicação é possível constatar que a resposta a incidentes não é um processo simples e linear que tem início na deteção de um incidente e que termina na erradicação e na recuperação do mesmo. É um processo complexo e cíclico de melhoria contínua da defesa das organizações. Assim, cada uma das fases identificadas anteriormente, exige planeamento e alocação de recursos especializados.
A fase de preparação consiste na alocação e na organização dos recursos necessários para responder aos incidentes de segurança, incluindo políticas, procedimentos, ferramentas, equipa, comunicações, competências e dependências internas e externas.
A fase de detenção e análise inclui a capacidade para agregar, registar, analisar e correlacionar eventos de segurança de diversas fontes em tempo real e de gerar os alertas necessários para investigar os incidentes e priorizar as respetivas respostas.
A fase de contenção, erradicação e recuperação constitui a realização de ações de resposta através da escolha da estratégia adequada, em função do tipo de ataque identificado na fase anterior e dos alvos afetados, sem esquecer a recolha de evidencias para análise forense.
Por fim, a fase de atividade pós-ataque tem como objetivo aprender e melhorar, através da análise das respostas dadas aos incidentes, revendo as atividades realizadas durante todo o processo para prevenir a repetição de eventuais falhas e incorporar melhorias no processo geral de resposta a incidentes através das lições aprendidas.
No entanto, apesar desta publicação fornecer as diretrizes necessárias para que as organizações consigam implementar uma resposta a incidentes de segurança informática com eficácia e eficiência, independentemente das plataformas cloud, hardware, sistemas operativos, protocolos ou aplicações, a globalidade das tarefas é complexa e exigente. Assim, é recomendável que esta implementação seja adaptada à medida de cada organização, por uma equipa de profissionais internos e / ou externos com competências complementares nas áreas de cibersegurança, privacidade, direito, gestão de projetos e administração das redes e sistemas utilizados pela organização.
Em suma, as organizações não planeiam falhar na resposta a incidentes informáticos, mas falham no planeamento dessa mesma resposta e, por isso, é necessário este planeamento prévio que lhes permita reagir de forma eficaz e eficiente a um ciberataque.
Artigo publicado a 2 agosto de 2022, em Sapo TEK. Clique aqui para ver o artigo no meio original.