Para as empresas e líderes de segurança, há alguns desafios críticos quando falamos de resposta a incidentes hoje. Alguns estudos que mostram este cenário:
- Dados do Fórum Econômico Mundial de 2023 mostram que 93% dos líderes de segurança cibernética acreditam que é bem provável que precisem lidar com um evento cibernético catastrófico e de grande alcance nos próximos dois anos.
- O relatório “Como as empresas estão respondendo ao desafio de resposta a incidentes”, de 2023, organizado pelo portal Dark Reading, com líderes de segurança em empresas do mundo todo com até 5 mil funcionários, mostrou que 26% das organizações sofreram 100 ou mais incidentes de segurança no ano passado. E que, em média, 16% das equipes de segurança conseguiram detectar o incidente de segurança assim que ele ocorreu, 36% detectaram em minutos e 28%, horas após a ocorrência.
- Um estudo de 2023, feito pela Cybereason, com profissionais de segurança cibernética que atuam em organizações de vários países com 700 ou mais funcionários, empresas essas que sofreram ataque de ransomware, mostrou que quase um quarto das empresas ouvidas (24%) não tinha um plano específico de resposta a incidentes em vigor, apesar de já terem sido atacadas antes.
A resposta a incidentes cibernéticos é um processo crítico para identificar, gerenciar, registrar e analisar eventos de segurança da informação. É essencial por vários motivos. Cito aqui quatro deles:
- Minimização de danos: responder rapidamente a um incidente pode reduzir significativamente os danos financeiros e operacionais;
- Proteção da reputação: empresas que lidam com incidentes de forma eficaz mantêm a confiança dos clientes e parceiros;
- Conformidade legal: muitas regulamentações exigem que as empresas tenham processos de resposta a incidentes bem definidos;
- Aprendizado e melhoria contínua: cada incidente oferece uma oportunidade para aprender e melhorar as defesas cibernéticas da organização.
Mas, para que tenhamos uma boa resposta a incidentes, é necessário ter seus processos bem definidos, com papeis, responsabilidades e indicadores para mensurar possíveis desvios e o não cumprimento das etapas do plano.
Acredito que um assessment é capaz de proporcionar uma boa visão do que a empresa tem de gap.
Assessment baseado em boas práticas de mercado
Um assessment é uma avaliação sistemática das vulnerabilidades e riscos de uma empresa. Realizar um assessment com base em boas práticas é fundamental para identificar áreas de melhoria e desenvolver uma estratégia robusta de segurança.
CIS (Center for Internet Security): fornece um conjunto de controles de segurança críticos que ajudam as organizações a se defenderem contra as ameaças cibernéticas mais comuns. Esses controles são práticos e podem ser implementados independentemente do tamanho da organização.
NIST (National Institute of Standards and Technology): oferece o “NIST Cybersecurity Framework”, que é um guia detalhado para gerenciar e reduzir riscos cibernéticos. Ele é amplamente adotado por empresas e governos devido à sua abordagem abrangente e flexível.
ISO 27000 (International Organization for Standardization): a série ISO 27000 oferece um padrão globalmente reconhecido para sistemas de gestão de segurança da informação. Ele ajuda as organizações a protegerem informações sensíveis por meio de uma abordagem sistemática e bem documentada.
Com uma visão baseada em boas práticas, podemos dizer que é possível entender onde devemos colocar nossa força e priorizar o que é importante para o negócio. Toda essa visão ajuda, e muito, na criação de um Plano de Continuidade de Negócios (PCN) robusto, que é crucial se considerarmos que, hoje, qualquer evento cibernético imprevisto pode afetar operações causando parada e interrupção dos serviços. Diante disso, a resposta a incidente alinhada ao negócio só terá sucesso em mitigar o risco de parada, somada a um bom plano de continuidade de negócio implementado.
Conexão com o Plano de Continuidade de Negócios (PCN)
O Plano de Continuidade de Negócios é um documento que descreve como uma empresa continuará a operar durante e após uma interrupção. A integração da resposta a incidentes com o PCN garante que a organização não só se recupere rapidamente de um incidente cibernético, mas também mantenha a continuidade das operações essenciais.
Conclusão
A implementação de uma resposta a incidentes eficiente, juntamente com assessments regulares baseados em boas práticas – como CIS, NIST e ISO 27000 – e um PCN bem estruturado, são a base da resiliência cibernética. Ao focar nessas áreas, as empresas podem não apenas responder eficazmente a incidentes, mas também garantir a continuidade de suas operações e proteger sua reputação no mercado.
Com certeza podemos e devemos adicionar a todos esses passos a gestão de risco, englobando todo resultado com mensurações de apetite assim conseguimos ter uma boa estratégia quando temos um bom risco mapeado, uma resposta a incidente alinhada a assessments frequentes dentro de um plano maior de continuidade.
Que tal falarmos mais sobre um bom plano de resposta a incidentes para a sua empresa? Ter um dash executivo (one page), um dash tático por negócio ou pilares e um bom controle operacional? Posso ajudar.
Leonel Conti – diretor de Tecnologia da Redbelt Security