Plano de resposta a incidentes: como criar e por que sua Companhia deve ter um

Toda Companhia está suscetível a sofrer incidentes de segurança, seja por vazamentos de dados, erros operacionais, falhas humanas ou ataques maliciosos, por exemplo.

Da mesma forma que as modalidades criminosas aumentam, os esforços de segurança precisam ser intensificados, principalmente em cumprimento à Lei Geral de Proteção de Dados (LGPD).

Entre as exigências da regulamentação está que o agente de tratamento de dados adote medidas de segurança, técnicas e administrativas que garantam a privacidade e segurança dos dados na ocorrência de qualquer incidente de segurança.

Uma dessas medidas é o Plano de resposta a incidentes, que possibilitará a Organização afetada agir rapidamente diante de uma situação adversa, minimizando riscos e prejuízos, como: danos à reputação, sanções administrativas e ações judiciais.

Veja como criar o Plano de resposta a incidentes e por que sua Companhia deve ter um:

O que é um incidente

Um incidente de segurança é qualquer situação que viole os três pilares da segurança da informação, que são: a confidencialidade, a integridade e a disponibilidade da informação.

O que você vai ver neste post

Exemplos de incidentes de segurança

  • Vazamento ou roubo de dados após invasão maliciosa;
  • Acesso a dados por pessoas não autorizadas;
  • Exposição de dados pessoais em sites, comunicados ou redes sociais (de forma acidental ou proposital);
  • Perda de dados ocasionado por queda de energia, raios e outras catástrofes naturais;
  • Alteração indevida de dados.

Gestão de incidentes

O gerenciamento de incidentes coordena as ações que a empresa terá para identificar, detectar, analisar, conter e responder as ocorrências enquanto acontecem ou após terem ocorrido.

Plano de Resposta a Incidentes

O Plano de Resposta a Incidentes (IRP) é um documento formal que reúne as ferramentas e procedimentos que uma equipe de TI deve adotar para resolver problemas de segurança que possam surgir no negócio. 

Seu objetivo é prevenir, identificar e eliminar as ameaças cibernéticas, garantindo que ações de recuperação sejam tomadas o mais rápido possível, afim de minimizar eventuais danos ao business.

Fases do Plano

O Plano de Respostas a Incidentes possui 6 fases, que são:

  1. Preparação – como estar preparado diante de um incidente
  2. Identificação – quais os critérios de identificação de incidentes
  3. Contenção: como combater o incidente
  4. Erradicação: como eliminar a causa do incidente
  5. Recuperação: como restabelecer ao estado anterior ao incidente
  6. Lições aprendidas: o que fazer para que os mesmos erros não ocorram novamente

Fase 1 – Preparação para agir diante de um incidente

Esta fase cobre os seguintes procedimentos:

  • Escolher os componentes do Time de Respostas a Incidentes, esclarecendo as funções e responsabilidades de cada integrante;
  • Capacitar a equipe que atuará no incidente, para que tenha tanto o comportamento para lidar com o problema, quanto o conhecimento técnico;
  • Levantar quais são os ativos críticos da empresa, as vulnerabilidades, os tipos de incidentes mais recorrentes e as respostas necessárias para cada um deles;
  • Listar os processos e estratégias necessários para atuar em cada tipo de incidente;
  • Elaborar playbooks registrando o tratamento para ameaças específicas.

Fase 2 - Critérios de identificação de incidentes

Nesta etapa os incidentes são detectados e identificados, o Time de Resposta a Incidentes é notificado e são colhidas as seguintes informações: como ocorreu; quando, quem e como descobriu; quais sistemas foram afetados; se possui correlação com outro incidente; os impactos.

Todas estas perguntas servirão de base para o gerenciamento das vulnerabilidades, avaliações de risco, monitoramento e controle de rede.

É desejável também que a empresa tenha projetado:

  • um fluxo pós a confirmação de incidente, para guiar as ações da equipe
  • um fluxo de escalonamento de incidentes, que forneça possíveis respostas de tratamento de incidente, de acordo com o tipo e a criticidade.

Caso sejam identificados riscos aos titulares de dados, é preciso informar a ANPD e os titulares o seguinte:

  • Se houve o uso de credenciais comprometidas (listando quais);
  • Se houve exposição, transferência ou sequestro de dados;
  • Quais sistemas, equipamentos e redes foram comprometidos;
  • Quais setores da empresa foram impactados;
  • Quais dados e quais titulares foram afetados.

Fase 3 – Contenção do incidente

  • Esta etapa deve focar em ações para limitar a extensão de um ataque, envolvendo procedimentos de curto e longo prazo.
  • As ações de curto prazo agem na resolução rápida e imediata do problema, enquanto a de longo prazo diz respeito a ações mais complexas, que cuidam da restauração do sistema corporativo.
  • É importante que, da fase de investigação do incidente (fase 2) para esta, sejam mantidas a integridade das evidências.
  • Perguntas importantes para esta fase: medidas tomadas para conter ou controlar a violação; áreas envolvidas na investigação do incidente; se houve comunicação do incidente e como foi realizado.

Fase 4 – Erradicação do problema

  • Contido o problema, as ações de erradicação são iniciadas. Nesta etapa, o foco está na remoção completa da vulnerabilidade e nas providências necessárias para evitar que aconteça novamente.
  • Ações que podem ocorrer nesta fase: revisão das permissões de acesso, alteração dos mecanismos de autenticação, correção dos sistemas afetados até a completa restauração.

Fase 5 – Recuperação pós incidente

Para garantir que nenhuma ameaça permaneça e que os sistemas afetados retornem à normalidade, é importante realizar todos testes e validações, que são:

  • Instalar os patches e atualizações nos sistemas de segurança, roteadores e firewalls;
  • Reinstalar sistemas operacionais de máquinas afetadas;
  • Alterar as senhas de usuários e administradores locais dos equipamentos afetados;
  • Bloquear as credenciais privilegiadas afetadas;
  • Scannear as vulnerabilidades das máquinas afetadas antes de conectá-las a rede;
  • Restaurar os sistemas, utilizando backups íntegros e não afetados pelo incidente.

Fase 6 - Lições aprendidas

  • Nesta etapa é realizada uma análise crítica da situação, documentando o que foi aprendido, se existe necessidade de mudança ou aprimoramento nos processos internos.
  • É realizado um relatório de fechamento do incidente.

Relatório de fechamento do incidente

  • Este documento deverá conter detalhes do incidente, das consequências e das ações tomadas e como foi o processo de recuperação, respondendo às seguintes perguntas:
  • Os resultados da investigação do incidente;
  • Os resultados de contenção, correção e erradicação do incidente;
  • Se serão implementadas ações para prevenir ou reduzir o risco de uma recorrência;
  • Se ainda existem potenciais vulnerabilidades;
  • Se é recomendada alguma ação mitigatória;
  • Se haverá necessidade de novos hardwares ou softwares;
  • Se serão necessários treinamentos, mudança de política e do plano de resposta a incidentes, em si

Previna o erro humano e evite o uso indevido

De acordo com relatório da Verizon de 2020, mais de 20% dos vazamentos de dados envolvem erro humano e 8% estão relacionadas ao uso indevido por usuários autorizados.

Uma Companhia preparada para agir com rapidez e confiança na detecção de um incidente, certamente reduzirá grande parte do impacto causado por ele.

Ao rastrear facilmente as ações do usuário, o VaultOne permite que você visualize e restrinja o acesso do usuário aos recursos críticos do seu negócio, evitando erro humano e uso indevido.

Veja o VaultOne em ação, solicite agora mesmo uma demonstração.