Embora muitas empresas estejam fazendo progressos importantes em relação à Gestão de Segurança da Informação, a preparação para ataques cibernéticos ainda é um desafio em evolução. O ambiente de ameaças está em constante mudança e as organizações precisam adotar uma abordagem proativa e dinâmica para garantir que estejam à frente dos criminosos cibernéticos e mais: para responder rapidamente a uma tentativa de ataque. Os ciberataques estão cada vez mais complexos e cirúrgicos, inclusive em alguns casos, estão utilizando o IA generativa para potencializar o ataque.
Visando responder estes incidentes, as organizações reforçaram a adoção de tecnologias avançadas, e também o investimento em pessoas e processos o que envolve, inclusive, desenvolver um plano de respostas a incidentes robusto voltado a todas as partes interessadas. Para além das iniciativas focadas na prevenção, as companhias precisam ter um playbook, que é uma espécie de manual focado em orientações específicas para lidar com incidentes individuais de cibersegurança, que direciona cada uma das etapas a seguir em caso de um ataque.
Para termos uma ideia do cenário enfrentado, os dados da pesquisa CIO Report, promovida pela Logicalis, indica que 72% dos executivos brasileiros entrevistados relataram ter sido vítimas de ataques nos últimos doze meses, com perda de dados de cliente, danos à reputação, multas, downtime entre outros fatores que influenciam o negócio. Além disso, de acordo com o levantamento, 52% dos entrevistados no Brasil responderam que não estão totalmente preparados para um incidente de segurança. Mundialmente o índice é ainda maior, como 57% dos líderes afirmando não se sentirem totalmente prontos para lidar com uma grande violação de dados.
Os números variam, mas o tempo necessário para mitigação e recuperação após um ciberataque é, no mínimo, de alguns dias. Se pensarmos no custo de uma empresa parada, isso pode facilmente passar de milhões de reais. Portanto, evitar ao máximo e se preparar para quando um ataque chegar é primordial, não somente para segurança, mas para estratégia de avaliação de riscos do negócio.
Em termos de defesa, pensamos nas estratégias de combate a ciberataques como ondas. Na primeira, a preocupação maior é com os investimentos tecnológicos e controles. Na segunda, o cuidado é com processos e governança. Na terceira, o treinamento e conscientização dos funcionários. Um grande desafio é melhorar a gestão do controle de acesso de terceiros e tudo mais que esteja conectado à rede e que pode causar incidentes de segurança.
A resposta eficaz a um ataque cibernético é fundamental para minimizar os danos e proteger a integridade da empresa. Um plano de resposta a incidentes bem estruturado, combinado com uma comunicação transparente e uma análise rigorosa pós-incidente (análise forense), pode ajudar a mitigar os impactos de um ataque e fortalecer a resiliência da organização contra futuras ameaças.
Preparação, treinamento e melhoria contínua são essenciais para garantir que a empresa esteja pronta para enfrentar os desafios da cibersegurança no cenário digital em que vivemos.
Existem diversas formas sobre como uma empresa deve reagir e responder a um ataque cibernético, abaixo algumas sugestões:
- Identifique rapidamente se a empresa está realmente sob ataque. O monitoramento contínuo do ambiente (via SOC 24×7) pode ajudar na detecção e alerta de segurança. Avalie o impacto na operação da empresa, quais sistemas foram afetados e o tipo de dados comprometidos. A utilização do IA generativa poderá melhorar a eficiência desta detecção e podemos, posteriormente, evoluir para uma possível resposta autônoma ao incidente.
- Tenha um Playbook à mão. Este guia vai direcionar quais são as atividades que cada uma das áreas precisa fazer para responder ao incidente;
- Isole sistemas comprometidos ou afetados da rede para evitar a propagação. Aplique medidas temporárias para conter o ataque como bloqueio de portas, desabilite contas comprometidas, ou ativação de regras de firewalls e ações de mitigação pelo sistema avançado de proteção aos servidores e estações de trabalhos
- Restaure os sistemas afetados a partir de backups seguros e verificados;
- Comunique rapidamente todos os envolvidos internos, incluindo a equipe de TI, de segurança, áreas administrativas (como o jurídico e comunicação), além da alta direção. Dependendo da gravidade e das regulamentações notifique clientes afetados, autoridades competentes e o público em geral, se necessário;
- Investigue o caso, reúna evidências para entender como o ataque ocorreu, quem pode ser o responsável por ele, que vulnerabilidades foram exploradas e demais pontos que precisam ser corrigidos. Importante ter visibilidade do conteúdo que pode ter sido vazado durante o incidente e avaliar o seu respectivo risco para os negócios da organização.
- Relate sobre todo o incidente, quais ações foram tomadas, resultado da investigação e continue monitorando os sistemas para evitar futuras ameaças. Dessa forma, é possível melhorar os procedimentos de segurança;
- Realize uma análise depois do incidente para identificar oportunidades de melhorias e promova treinamentos de segurança e conscientização com as equipes. Pessoas com conhecimento são mais protegidas. Treine a sua equipe de segurança. Realizar exercícios de incidentes de segurança por meio do "Tabletop", garante de forma bastante efetiva o treinamento da equipe e validação dos procedimentos e atividades necessárias para responder o incidente.
- Aprimore suas defesas. Valide a sua segurança por meio da execução de pentest e simulação e emulação de ataques com as soluções de BAS (Breach Attack Simulation) e outras verificações que testam as defesas da empresa de forma pragmática, com atividades práticas o mais próximas do real;
- Estabeleça parcerias de segurança: desenvolver alianças com integradores e fabricantes de segurança pode ser muito valioso, mesmo para grandes empresas que possuem uma grande equipe interna de segurança. Nestas alianças terá à disposição um time experiente, tecnologia comprovada e poderão compartilhar conhecimento e estudos de caso, que melhoram a sua maturidade de segurança.
Alexandre Murakami, diretor da Unidade de Negócios de Segurança Latam da Logicalis.
