As preocupações sobre como lidar com violações de dados e ataques cibernéticos foram além das equipes de TI e chegaram na diretoria e principais executivos. Reconhecendo que os ataques acontecem mesmo nas melhores organizações, os diretores estão se perguntando: “O que pode ser feito para minimizar o dano?”.
Recentemente, fui convidado a contribuir com algumas das minhas lições aprendidas como Chief Security Officer da Rackspace em um novo livro, Navigating the Digital Age: the Definitive Cybersecurity Guide for Directors and Officers, que definitivamente vale a leitura.
Mas se você está procurando por uma cartilha sobre como conter e erradicar violações futuras, confira a seguir alguns passos que seu negócio deve tomar. Afinal de contas, não importa quantas precauções você tomar, toda empresa está vulnerável aos ataques cibernéticos.
Quando você trabalha para conter um ataque cibernético, você precisa interromper rapidamente a propagação do ataque e evitar mais danos. Para fazer isso, você inevitavelmente terá que reduzir, desligar ou bloquear serviços, o que pode gerar um enorme impacto sobre os fluxos de trabalho de negócios e serviços. É uma decisão difícil de tomar, e ela precisa ser tomada com base no risco que sua organização pode tolerar. Para ajudar a determinar sua tolerância ao risco, estabeleça prioridades para os processos de negócios e certifique-se de que a liderança da empresa ajude a moldar esta priorização.
[list=2]
[*]Estabeleça uma unidade de comando
[/list]
As crises possuem uma forma de fazer as pessoas saírem de suas posições e se envolverem. Mas o tempo é a essência durante um ataque cibernético, e um influxo de mãos inexperientes ou uma luta por controle pode piorar as coisas significativamente. Combata esta possibilidade construindo um plano de incidentes e ensaiando-o anualmente.
[list=3]
[*]Tome medidas holísticas
[/list]
Correções técnicas rápidas podem ser tentadoras e — na superfície — parecem ser a coisa certa a fazer. Mas você tem que lembrar que tecnologia adicional aumenta a complexidade, e a complexidade é inimiga da segurança. Observe toda a sua organização e certifique-se de que você tenha os processos, políticas, serviços e pessoas necessárias, além da tecnologia necessária para proteger sua rede e seus dados.
[list=4]
[*]Mantenha uma equipe de especialistas forenses externa
[/list]
Frequentemente, equipes de resposta internas assumem que podem lidar com uma crise, e no processo de tentar corrigir um problema, geram outro pior. Pode ser extremamente benéfico se envolver com um parceiro forense adequado durante sua fase de planejamento.
[list=5]
[*]O gerenciamento de casos é crítico
[/list]
Como você nunca sabe até onde chegará uma investigação, é importante seguir as melhores práticas desde o início. Durante uma crise, envolva sua equipe forense externa para ajudar a manter a integridade da evidência. Se um ataque gerar processos judiciais, a manipulação adequada das evidências por sua equipe forense pode se mostrar inestimável.
[list=6]
[*]Concentre-se em resultados
[/list]
Sua primeira inclinação pode ser a de adotar uma abordagem de lista de verificação para responder aos incidentes. Porém, como nenhum ataque cibernético é igual a outro, uma lista de verificação pode não ser a abordagem mais eficaz. Ao invés disso, utilize o loop O-O-D-A: Observe, Oriente, Decida, Aja. Esta metodologia permite a você tomar decisões informadas com base no feedback de várias fontes. Reconhecendo que os atacantes também podem estar observando, orientando, decidindo e agindo contra você, o objetivo é reforçar e acelerar o loop OODA, utilizando pessoas, processos e tecnologias para avançar mais rapidamente do que seus adversários.
[list=7]
[*]Depoimento
[/list]
Uma vez que você tenha passado por sua provação, é hora de fazer um balanço do que deu errado no começo e avaliar o que funcionou e não funcionou durante o processo de recuperação. Esta etapa é realmente de extrema importância. Você acabou de sair de um pesadelo. E se você não fizer as alterações certas, pode ser jogado de volta nele novamente. Capture as lições que aprendeu e certifique-se de que sua equipe também aprenda todas elas.
Se você está procurando um mergulho mais profundo sobre como proteger seus ambientes de TI contra ameaças persistentes avançadas, confira nosso novo webcast sob demanda, Melhorando a Segurança em Ambientes Multi-Nuvem.
Fonte: RackSpace
Recentemente, fui convidado a contribuir com algumas das minhas lições aprendidas como Chief Security Officer da Rackspace em um novo livro, Navigating the Digital Age: the Definitive Cybersecurity Guide for Directors and Officers, que definitivamente vale a leitura.
Mas se você está procurando por uma cartilha sobre como conter e erradicar violações futuras, confira a seguir alguns passos que seu negócio deve tomar. Afinal de contas, não importa quantas precauções você tomar, toda empresa está vulnerável aos ataques cibernéticos.
- Estabeleça prioridades conforme mede o impacto
Quando você trabalha para conter um ataque cibernético, você precisa interromper rapidamente a propagação do ataque e evitar mais danos. Para fazer isso, você inevitavelmente terá que reduzir, desligar ou bloquear serviços, o que pode gerar um enorme impacto sobre os fluxos de trabalho de negócios e serviços. É uma decisão difícil de tomar, e ela precisa ser tomada com base no risco que sua organização pode tolerar. Para ajudar a determinar sua tolerância ao risco, estabeleça prioridades para os processos de negócios e certifique-se de que a liderança da empresa ajude a moldar esta priorização.
[list=2]
[*]Estabeleça uma unidade de comando
[/list]
As crises possuem uma forma de fazer as pessoas saírem de suas posições e se envolverem. Mas o tempo é a essência durante um ataque cibernético, e um influxo de mãos inexperientes ou uma luta por controle pode piorar as coisas significativamente. Combata esta possibilidade construindo um plano de incidentes e ensaiando-o anualmente.
[list=3]
[*]Tome medidas holísticas
[/list]
Correções técnicas rápidas podem ser tentadoras e — na superfície — parecem ser a coisa certa a fazer. Mas você tem que lembrar que tecnologia adicional aumenta a complexidade, e a complexidade é inimiga da segurança. Observe toda a sua organização e certifique-se de que você tenha os processos, políticas, serviços e pessoas necessárias, além da tecnologia necessária para proteger sua rede e seus dados.
[list=4]
[*]Mantenha uma equipe de especialistas forenses externa
[/list]
Frequentemente, equipes de resposta internas assumem que podem lidar com uma crise, e no processo de tentar corrigir um problema, geram outro pior. Pode ser extremamente benéfico se envolver com um parceiro forense adequado durante sua fase de planejamento.
[list=5]
[*]O gerenciamento de casos é crítico
[/list]
Como você nunca sabe até onde chegará uma investigação, é importante seguir as melhores práticas desde o início. Durante uma crise, envolva sua equipe forense externa para ajudar a manter a integridade da evidência. Se um ataque gerar processos judiciais, a manipulação adequada das evidências por sua equipe forense pode se mostrar inestimável.
[list=6]
[*]Concentre-se em resultados
[/list]
Sua primeira inclinação pode ser a de adotar uma abordagem de lista de verificação para responder aos incidentes. Porém, como nenhum ataque cibernético é igual a outro, uma lista de verificação pode não ser a abordagem mais eficaz. Ao invés disso, utilize o loop O-O-D-A: Observe, Oriente, Decida, Aja. Esta metodologia permite a você tomar decisões informadas com base no feedback de várias fontes. Reconhecendo que os atacantes também podem estar observando, orientando, decidindo e agindo contra você, o objetivo é reforçar e acelerar o loop OODA, utilizando pessoas, processos e tecnologias para avançar mais rapidamente do que seus adversários.
[list=7]
[*]Depoimento
[/list]
Uma vez que você tenha passado por sua provação, é hora de fazer um balanço do que deu errado no começo e avaliar o que funcionou e não funcionou durante o processo de recuperação. Esta etapa é realmente de extrema importância. Você acabou de sair de um pesadelo. E se você não fizer as alterações certas, pode ser jogado de volta nele novamente. Capture as lições que aprendeu e certifique-se de que sua equipe também aprenda todas elas.
Se você está procurando um mergulho mais profundo sobre como proteger seus ambientes de TI contra ameaças persistentes avançadas, confira nosso novo webcast sob demanda, Melhorando a Segurança em Ambientes Multi-Nuvem.
Fonte: RackSpace