"Se algo pode dar errado, dará."
Lei de Murphy
Por mais que se previna, incidentes de segurança acontecem e aumentam a cada dia com vazamento de dados, vírus, invasões, ransomware e outras ameaças cibernéticas. Controles preventivos são necessários mas imperfeitos, e em caso de incidente, é preciso estar preparado para detectar e responder de forma rápida e adequada, reduzindo impactos, e assegurando um nível adequado da continuidade de serviços e funções.
Para atender este objetivo de identificar ameaças, e responder a elas antes que possam se espalhar e causar danos, o Controle 17 do CIS orienta para desenvolver e manter uma capacidade de resposta a incidentes (políticas, planos, procedimentos, funções definidas, treinamento e comunicações) para preparar, detectar e responder rapidamente a um ataque.
"Não podemos esperar que as proteções sejam eficazes 100% do tempo. Quando ocorre um incidente, se a empresa não tem um plano documentado - mesmo com boas pessoas - é quase impossível saber os procedimentos de investigação corretos, relatórios, coleta de dados, responsabilidade de gestão, protocolos legais e estratégia de comunicação que permitirão a empresa entender, gerenciar e recuperar com sucesso."
Para este Controle, existem 9 Medidas de Segurança (as 3 primeiras são as prioritárias):
17.1 Designar Pessoal para Gerenciar Tratamento de Incidentes
17.2 Estabelecer e manter informações de contato para relatar incidentes
17.3 Estabelecer e manter um processo corporativo para relatar incidentes
17.4 Estabelecer e manter um processo de resposta a incidentes
17.5 Atribuir funções e responsabilidades chave
17.6 Definir mecanismos de comunicação durante a resposta a incidente
17.7 Conduzir exercícios de resposta a incidentes rotineiros
17.8 Conduzir análises pós-incidente
17.9 Estabelecer e manter limites de incidentes de segurança
Outra importante referência para gestão de incidentes é a ISO/IEC 27035, norma da família 27000 que expande os controles da 27001/27002, para uma eficaz gestão de incidentes em sistemas e redes de TI. É dividida em 3 partes:
Parte 1 - Princípios da gestão de incidentes: conceitos básicos e princípios para detectar, relatar, avaliar e responder a incidentes e, aplicar lições aprendidas. Seus anexos fornecem exemplos de incidentes de segurança da informação e referências cruzadas com a ISO 27001.
Parte 2 - Diretrizes para planejar e preparar a resposta a incidentes: diretrizes que apontam a necessidade de políticas, planos, comprometimento da alta direção, estabelecimento da equipe de resposta a incidentes (IRT), relacionamento e conexões com organizações externas, suporte e treinamento para a fase de "Planejar e Preparar" a resposta a incidentes.
Parte 3 - Diretrizes para resposta a incidentes de segurança da informação em operações de TIC: no ano passado, traduzida pela ABNT como Norma Brasileira (NBR), abrange aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Inclui atividades para detecção de incidentes, notificação, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.
Finalmente, existe a ISO 22320 - Segurança e resiliência - Diretrizes para gestão de incidentes que fornece orientação para as organizações melhorarem o tratamento de todos os tipos de incidentes. Define os componentes básicos incluindo processo e estrutura, com foco em papéis e responsabilidades, tarefas e gestão de recursos, comunicação e interação com o público e partes interessadas. Permite ainda que as organizações utilizem uma abordagem comum para a gestão de qualquer tipo de incidente, possibilitando um trabalho colaborativo e garantindo ações mais coerentes e complementares entre as organizações.
"As empresas devem se preparar para reduzir o tempo desde que um ataque acontece até quando é identificado. Quanto mais tempo os invasores ficarem nas redes ou sistemas da organização, mais incorporados se tornam e mais tempo possuem para criar formas de manterem os acessos e encobrirem seus rastros quando forem descobertos."
Nesta quinta, dia 12 , 10h30, participarei com meu sócio Fernando Nery e Dr. Gilberto Martins da Live 'Governança em Privacidade e o Escritório do DPO', fique à vontade para participar e divulgar para sua equipe.
Até lá.
Alberto
