Imagem de bombeiros apagando um incêndio

Como se preparar para incidentes de segurança da informação?

O porquê de se preparar para a ocorrência de incidentes.

Há alguns anos, uma propaganda de seguros alertava que “coisas ruins acontecem”. É uma afirmação difícil de contestar quando se lida com a gestão de riscos, sempre há aqueles riscos que não podem ser totalmente eliminados.

Nesta categoria estão os riscos de segurança da informação. Pela dinâmica da evolução tecnológica, pelo componente humano em sua utilização e pela intrincada relação entre processos de negócios e informação nas empresas modernas, não é possível garantir 100% de eficácia dos controles de segurança em 100% do tempo.

Por mais que o ambiente tecnológico da empresa esteja bem cuidado, existirão riscos residuais de que ocorra algum incidente. Podem surgir por uma vulnerabilidade recém descoberta, uma engenharia social que conseguiu usuários e senhas, uma nova rede wireless que foi instalada, um novo dispositivo inteligente conectado na rede interna, etc.

Assim, há sempre a probabilidade de que algo ruim ocorra com a informação mantida por sua empresa. Mas, da mesma forma que o anúncio de seguros, não é uma constatação para colocá-lo em pânico, apenas para mostrar que há uma alternativa.

Como se preparar para os incidentes.

Em vez de contar com a sorte e esperar que nunca ocorram coisas ruins – há probabilidade disso também – o melhor é se preparar para caso elas ocorram. É se organizar para tratar o incidente de segurança da informação de uma forma que diminua ao máximo seus impactos sobre a empresa.

Uma forma de se organizar, é criar na empresa um grupo de resposta à incidentes de segurança da informação (CSIRT – Computer Security Incident Response Team). É um grupo multidisciplinar, com pessoas de TI e de outras áreas da empresa, que será acionado na ocorrência de um incidente e ficará responsável por tratá-lo. Tratamento que deve incluir até mesmo os informes para a direção da empresa e eventualmente comunicados para os clientes e para a mídia.

O sucesso desse grupo depende dele estar preparado. Imagine, se um grupo de bombeiros tivesse de aprender a combater o fogo no meio de um incêndio de grandes proporções, as chances de uma tragédia seriam enormes. Ocorre o mesmo com o CSIRT, ele tem que estabelecer previamente procedimentos e treiná-los.

Precisa também ter as ferramentas a mão, alguém já viu um bombeiro correndo para comprar a mangueira durante um incêndio?

Grupo de Resposta à Incidentes de Segurança da Informação.

Assim, o CSIRT precisa estar preparado para:

  • Determinar o que está acontecendo, o que está sendo afetado e como conter;
  • Conter o incidente para que seus danos não se agravem;
  • Identificar as causas do incidente e as medidas necessárias para que ele não se repita;
  • Garantir que as medidas de prevenção sejam tomadas.

A base para esta preparação é uma análise do ambiente tecnológico e dos seus riscos. A partir dos riscos identificados é possível estabelecer planos e preparar as ferramentas.

Por exemplo, em muitas empresas, um sequestro virtual (ransonware) de sua base de dados pode significar a interrupção de seus negócios, resultando em graves prejuízos financeiros e de imagem. Para mitigar este risco, geralmente estão implantados vários controles de segurança, mas, caso falhem, deve entrar o CSIRT em ação.

Contar com a Sorte?

Imagino que alguns argumentarão que, nas suas empresas, não há nem brigada de incêndio, por que montariam um CSIRT? De fato, para quem confia na sorte, não faz sentido ter um CSIRT, mas, para quem é um pouco mais precavido e gosta de ter um seguro contra a ocorrência de coisas ruins …