Publicidade
Início Blogueria Resposta a incidentes

Resposta a incidentes

0
Publicidade

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

Conforme estatísticas do CERT.br nos últimos anos a quantidade de Incidentes de Segurança só tem aumentado.

Fonte: CERT.br

Mesmo diante desse cenário muitas empresas ainda não possuem um Plano de Resposta a Incidentes e nem uma Equipe de Resposta a Incidentes de Segurança de Computador, também conhecido como CSIRT (Computer Security Incident Response Team).

O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter a definição de incidente para a empresa e descrever os procedimentos a serem executados quando um incidente ocorrer, as ferramentas, tecnologias e recursos a serem utilizados, além de especificar os colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.

Etapas

O SANS Institute descreve seis etapas para uma resposta efetiva a incidentes de segurança:

  1. Preparação

Esta etapa visa preparar a equipe de segurança para lidar com os incidentes. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação.

  1. Identificação

Os incidentes são detectados permitindo uma rápida resposta reduzindo custos e danos ao ambiente. Nesta etapa a equipe de segurança consolida informações vindas de ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc.

  1. Contenção

Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo.

Conforme recomendação do SANS Institute nesta etapa deve-se “evitar a destruição de qualquer evidência que possa ser necessária posteriormente para a ação penal”.

  1. Erradicação

Refere-se à remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente.

  1. Recuperação

Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça.

  1. Lições aprendidas

Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes.

Manter a segurança da informação de uma organização é um grande desafio. Mas para auxiliar as empresas nessa árdua tarefa existem várias organizações de Resposta a Incidentes pelo mundo.

Marcia Garcia, gerente de projetos da Arcon.

SEM COMENTÁRIOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Sair da versão mobile