De acordo com a pesquisa IDC Cyber Security Research Latin America 2023, 39% dos executivos de TI da América Latina planejam investir em segurança de TI ainda este ano. No entanto, a elaboração de um plano de resposta a ataques cibernéticos, que é uma prática antiga e fundamental para qualquer organização, ainda patina nas companhias. Muitos planos ainda são pouco eficazes na prática e isso acontece porque, embora os protocolos existam, a falta de simulações práticas deixa as equipes despreparadas para agir sob pressão.
Os Planos de Continuidade de Negócios (PCNs), com foco em uma resposta ao incidente causado pelo ataque cibernético, são criados para assegurar que uma organização consiga continuar operando durante e após um ataque. No entanto, muitos desses planos ficam restritos apenas ao papel. É como em incêndios: as pessoas tendem a esquecer o que devem fazer no momento de desespero, isso geralmente acontece, não porque as regras não são claras, ou a comunicação não é objetiva o suficiente, mas porque muitos não levam a simulação a sério, bem como as próprias empresas. O treinamento contínuo é crucial para garantir que todos saibam exatamente qual é seu papel durante um incidente. Seja um incêndio, seja um ciberataque.
Outro aspecto crítico é a gestão de dados. Fazer backups regulares é fundamental para garantir que, caso os dados sejam comprometidos, seja possível recuperá-los, e garantindo que eles também não estão corrompidos.
Além disso, a micro segmentação, conforme recomendada pelo National Institute of Standards and Technology (NIST), pode ajudar a limitar o impacto e alcance de um ataque, isolando segmentos da rede e permitindo que as equipes possam atuar somente no ambiente infectado comprometido.
O próximo passo é rastrear e entender o vetor utilizado pelo atacante. Para isso, é necessário verificar se os logs de diversas tecnologias como firewall, Active Directory, Gateway de E-mail, Servidores de Aplicação, entre outros, estão sendo mantidos e se são efetivos. Esses logs são essenciais para restabelecer o processo e entender se houve impacto durante a entrada do invasor. Em um ataque, a empresa precisa ser capaz de apresentar relatórios consistentes de vulnerabilidades, controle de acesso e atividades, com precisão dos horários, para possibilitar o entendimento de toda a cronologia do incidente.
Ter um plano documentado é apenas o primeiro passo. Sem testagem regular, esse documento perde sua eficácia. Criá-lo é simples, mas o mais crítico é treinar as pessoas e esses treinamentos devem ser um processo contínuo, com simulações realizadas pelo menos uma vez a cada três meses. Durante essas simulações, todos devem saber seu papel, assim como um bombeiro sabe o que fazer em um incêndio. As simulações são fundamentais para apontar melhorias e correções no processo. Além disso, a liderança precisa estar inteiramente envolvida e engajada. Especialmente C-Levels que, por vezes, devem fazer o papel de um analista se a situação exigir, para entender os riscos e o papel de cada um.
É preciso criar uma cultura de veracidade. Para que um plano de resposta a ataques seja realmente eficaz, é necessário fomentar o senso de urgência dentro da organização. Durante as simulações, mesmo sabendo que se trata de um exercício, cada um deve desempenhar seu papel como se fosse uma situação real. A comunicação com a mídia também deve ser simulada, e todos devem estar dispostos a trabalhar, inclusive nos finais de semana, se necessário, para garantir a preparação e alcançar o resultado esperado.
Isabel Silva, Security Business Development Director da Add Value.
