Plano de Resposta a Incidentes Cibernéticos
Mariana da Silveira, CEGRC, CIGR, CISI, MBCR, DPO, ISO
Divisão Cibernética
Abril | 2023
Antes de o incidente cibernético ocorrer, é preciso que a organização possua um processo estabelecido, chamado Plano de Continuidade de Negócios – PCN, contendo as informações necessárias para mitigar os danos a ela causados. No processo do PCN existe o PRI. Se você ainda não sabe o que deve conter no PRI, certamente também não saberá o que fazer para realizar a melhoria contínua, bem como para assimilar as lições aprendidas após o incidente.
O ponto importante do PRI é focar na infraestrutura crítica de TI, composta basicamente de redes, hardware, software e bancos de dados. A organização precisará realizar ações para provisionar recursos, recuperar os negócios e retornar à normalidade. Assim, é preciso definir como será o fluxo de resposta a incidentes, ou ajustar o fluxo atual, caso haja, que contêm os critérios de acionamento do PCN, devendo ser periodicamente revisado.
Um plano de recuperação de incidentes é um conjunto de procedimentos documentados que descrevem como responder a um incidente de segurança. Os passos para construir um PRI consistem em identificar o Cenário Prospectivo, estabelecer a Política Diretriz e o Protocolo de Resposta, realizar o Registro de Incidente de Segurança da Informação e o Cadastro de Teste e Revisão do Plano.
Para tanto, é preciso o estabelecimento prévio de um conjunto de subprocessos e procedimentos, tais como a identificação dos ativos críticos, a identificação de informações, processos, softwares e aplicativos críticos para o negócio, que devem ser protegidos. gerir as ameaças, que possam afetar tais ativos críticos, definir as medidas de segurança apropriadas para proteger esses ativos críticos contra as ameaças identificadas.
A preparação é a chave para a resposta efetiva a incidentes cibernéticos. Isso inclui a formação de uma equipe de resposta a incidentes, a identificação dos principais ativos e sistemas de informação, a documentação de processos e procedimentos de segurança, e a implementação de controles de segurança adequados. Bem como a detecção, com a análise de incidentes e o monitoramento de logs e alertas de segurança.
A equipe de resposta a incidentes deve ser capaz de identificar o tipo e a extensão do incidente e avaliar o impacto sobre os sistemas e dados da organização. Uma vez que o incidente foi identificado, é importante conter e mitigar os danos. Isso pode incluir a desativação de softwares afetados, a aplicação de patches de segurança, a restauração de backups de dados e a implementação de controles adicionais de segurança.
Deve ser conduzida uma investigação completa do incidente com análise forense para determinar a causa raiz, o escopo do incidente e quaisquer medidas adicionais que devem ser tomadas para evitar futuros incidentes. A equipe de resposta a incidentes deve notificar as partes afetadas, como clientes, fornecedores e órgãos reguladores, e elaborar um relatório detalhado do incidente e das medidas tomadas para sanar ou mitigar os danos.
A restauração da estrutura afetada deve ocorrer alinhada com o Plano elaborado, validado, testado e melhorado, por intermédio da implementação de medidas adicionais de segurança e do aperfeiçoamento das já existentes, após a verificação da necessidade de melhoria contínua, quando identificada, durante testes de eficácia do PRI com a incorporação das lições aprendidas, assim o retorno aos níveis aceitáveis de segurança ocorrerá em menor tempo.
Uma vez controlada a contingência e passada a crise, a organização inicia o retorno aos seus níveis originais de operação, pois as prioridades foram definidas anteriormente, os protocolos de retomada acionados de maneira organizada e concatenada, os papéis e as responsabilidades estabelecidos, as pessoas estão treinadas e preparadas, os recursos e os meios disponibilizados, as lições aprendidas incorporadas, para o retorno à normalidade.
De todas as etapas a serem percorridas durante a execução de um PRI, o processo de melhoria contínua e a incorporação de lições aprendidas devem ser destacados neste momento. Pois, de pouco adiantaria aperfeiçoar as medidas técnicas de segurança, já existentes, em redes, hardware, software e bancos de dados, e novas medidas técnicas de segurança se as lições apresentadas, na ocasião do incidente, não fossem assimiladas.
O método Brasiliano de PRI, utilizado no Software INTERISK, consiste em algumas etapas, detalhadas a seguir. A primeira é a identificação do Cenário Prospectivo, na qual é realizado o Cadastro de Cenários Prospectivos:
Assim, é possível visualizar todos os cenários prospectivos para sua organização:
Na etapa do Business Impact Analysis – BIA, responsáveis, unidades de negócio, processos e sistemas críticos são mapeados, priorizados e validados pela alta direção:
As criticidades são estabelecidas, os cenários críticos são elaborados, as estratégias de continuidade definidas, e os Planos de Continuidade Operacionais, estruturados.
Quando um Cenário Prospectivo é materializado, as diretrizes da Política são executadas, a fim de orientar as tomadas de decisão. O acionamento do Protocolo de Resposta a Incidentes é realizado para, em seguida, iniciar o Registro de Incidente de Segurança da Informação com a comunicação às autoridades.
O Cadastro de Teste é realizado, bem como a Revisão do Plano em um processo de melhoria contínua:
Por fim, é realizado o cadastro do Plano de Ação a fim de atuar com medidas corretivas para preencher lacunas, possíveis distorções ou melhorias identificadas durante a execução dos testes:
Quer conhecer com profundidade o framework exclusivo da Brasiliano INTERISK? Inspirado no COSO, nas Normas ISO 31.000/2018, 22.301/2020, 22.317/2023 e 27.031/2023, é um modelo em constante atualização e baseado nos frameworks e estruturas mais aceitos mundialmente, assim como nas melhores práticas do mercado, graças à vanguarda, em Gestão de Riscos no Brasil, do nosso presidente e fundador da Brasiliano INTERISK.