Como responder a um incidente de segurança

Evitar um ataque de violação de dados é ideal, mas nem sempre é possível. Entenda
Emilia Bertolli
4 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Todos os dias uma empresa é pega de surpresa por uma violação de dados. Evitar um ataque é ideal, nem sempre é possível. Não há uma segurança perfeita. Mesmo que você tenha terceirizado o seu TI ou os seus dados estejam na nuvem, em última instância, a responsabilidade de manter os dados do cliente seguros cai sobre seus ombros.

No caso lamentável em que a sua empresa sofre uma quebra, você deve estar preparado para enfrentá-la rapidamente. Para ajudar, criamos um meio fácil de implementar o plano que define formas de responder e se recuperar de um incidente de segurança cibernética de forma proativa.

Evitar

Evitar um ataque sempre que possível é o melhor – mas também é importante ter um plano de resposta a incidentes cibernéticos no lugar, em antecipação de um ataque.

Faça um inventário
Que informação é missão crítica para a sua organização? Onde isso está? Qual a rapidez com que pode ser restabelecido quando é tomado em um ataque?
Realize uma auditoria completa de seus sistemas, tome nota dos componentes mais importantes e controle tudo. Certifique-se de que você não é a única pessoa ciente deste documento.

Escolha uma equipe (ou duas)
Agora que você sabe o que é mais importante, certifique-se de que todos os participantes relevantes estão cientes também. Indique uma pessoa, como o proprietário da empresa de TI, na eventualidade de um ataque cibernético. Este indivíduo precisa estar prontamente disponível em caso de emergência, e equipado para gerir os diversos componentes técnicos internos envolvidos com a recuperação de uma violação. Nomeie uma segunda pessoa para gerir as necessidades externas de uma violação – como a sensibilização junto às relações públicas, entre em contato com a assessoria jurídica da organização, etc. Ambos os papéis são essenciais para uma resposta oportuna e eficaz. Apenas por segurança – escolha uma pessoa para comandar as equipes. Afinal, ninguém está isento de erros.

Faça um plano
Você sabe os dados, você tem as pessoas certas no lugar certo – agora é hora de desenvolver um plano de ação e fornecer os procedimentos específicos e concretos a serem seguidos durante um incidente cibernético. Os procedimentos devem abordar:

Quem tem a responsabilidade de liderar?
– Como entrar em contato com o pessoal essencial, e que dados, redes e serviços devem ser priorizados para a recuperação.
– Como preservar os dados que foram comprometidos pela intrusão e executar a revisão nas falhas de segurança e insights sobre o ataque real.
– Quem precisa ser notificado (proprietários de dados, clientes ou empresas parceiras) se os seus dados, ou dados que afetam suas redes forem roubados.
– Quando e qual a aplicação da lei deve ser usada, bem como quaisquer organizações regulamentadas devem ser notificadas.

 

Uma vez desenvolvido, este plano não deve ser escondido. Certifique-se de que todos na equipe estão cientes. Além disso, tenha tempo para avaliar a relevância e a atualização do plano de cada trimestre conforme a necessidade. Infelizmente, a segurança não é estática. Além disso, ele deve ser testado antes de um incidente cibernético real.

 

Endereço

Apesar de todo o seu planejamento, preparação e boas intenções – o que acontece quando você for atingido por um ataque cibernético? Em primeiro lugar –  implementar o seu plano de incidente cibernético o mais rápido possível. Tome uma avaliação crítica da situação. Será que ela parece ser um ataque malicioso ou uma falha tecnologia simples ou errada? Depois de determinar a intenção, é hora de recolher e preservar os dados afetados, e colocar o resto do seu plano em ação.

Para quem você deve ligar?
Tenha esta informação em um lugar prontamente disponível dentro do seu plano de incidente cibernético. Comece o seu alcance imediato com os responsáveis pela resposta e trabalhe seu caminho por essa linha. Por exemplo, o proprietário “externo” na sua organização deve notificar a aplicação da lei, possíveis vítimas e do Departamento de Segurança Interna, se necessário. No geral, a melhor abordagem é a transparência. Ninguém quer admitir uma violação. No entanto, esconder informações críticas ou atrasar a notificação pode ser mais prejudicial ainda. Uma boa abordagem deve ser tão direta quanto possível, com destaque para o conhecido e prometendo acompanhar qualquer desconhecido. Como sempre, mantenha-o simples e direto. Não faça promessas que não possa cumprir.

Você pode precisar de um profissional
Às vezes, uma equipe de resposta interna só não é suficiente. Felizmente, existem muitas organizações de terceiros que se especializam em resposta a incidentes e pode ajudá-lo a navegar através da violação. Um profissional de fora pode ter outro olhar sobre a situação e ajudar a identificar uma violação que ainda está a caminho. Eles podem ajudar você a descobrir exatamente o que foi acessado e comprometido, identificar quais vulnerabilidades causou a violação de dados, e remediar para que o problema não volte a acontecer.

Verificar e reintegrar
Por fim, verifique se o backup de dados não foi comprometido. Não seria bom restaurar o sistema usando dados que você acredita que são válidos, apenas para descobrir como os seus dados foram comprometidos.

 

Ação

Mesmo depois de um incidente cibernético parecer estar sob controle, mantenha-se vigilante. Muitos intrusos voltam e tentar recuperar o acesso a redes anteriormente comprometidas. É possível que, apesar de seus melhores esforços, um hacker possa ainda encontrar um caminho para o seu sistema.

 

Monitorar mais
Continue a monitorar o sistema fora da atividade normal. Invista em uma solução de software que utiliza análises do comportamento do usuário para reconhecer um comportamento incomum e notificar antes de um ataque real. A Varonis, por exemplo, vai reconhecer e notificar sobre as ameaças tanto externas como internas antes que o dano irreparável possa acontecer.

Apenas os fatos
Uma vez que a sua organização se recuperou do ataque, é hora de rever completamente o que aconteceu, e tomar medidas para evitar ataques semelhantes. O que correu bem com o plano de resposta ao incidente cibernético? O que pode precisar de um pouquinho de ajustes? Avalie os pontos fortes e fracos do plano, e determine o que precisa de ajuste. Implemente as mudanças. Você será feliz que com o que fez, se for atacado novamente.

Reagir, Revisar e Revisitar
Proteger contra um incidente cibernético é um trabalho em tempo integral. Como um ransomware e o insider evoluem, se tornam ameaças consistentes, é importante rever e revisar o seu plano de Cyber Incident.

Mantenha o seu plano até a data
Tem a tecnologia certa no lugar (incluindo monitoramento de rede legítima) para resolver um incidente.
Contrate uma assessoria jurídica que está familiarizada com as questões complexas, associadas a incidentes cibernéticos.
Certifique-se de políticas corporativas existentes e alinhe com o seu plano de resposta a incidentes.
Um incidente cibernético não é algo que você gostaria de enfrentar. No entanto, ser pró-ativo e preparado vai fazer uma enorme diferença na sua resposta.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

número-de-ataques-ddos-cresce-no-brasil
Número de ataques DDoS cresce no Brasil
Para reduzir os riscos de ataques DDoS é necessário combinar recursos de monitoramento e detecção de ameaças 
principais-tendências-de-segurança-para-2018
Principais tendências de segurança para 2018
As organizações precisam reinventar suas estratégias para se defender das ameaças cada vez mais sofisticadas. Conheça as tendências de segurança para 2018.
como-evitar-ameaças-cibernéticas
Como evitar ameaças cibernéticas
Como auxiliar seu time a preservar o compliance em cibersegurança | Varonis
o-que-é-um-ataque-de-força-bruta?
O que é um ataque de força bruta?
Um ataque de força bruta experimenta diferentes combinações de nomes de usuários e senhas para invadir uma rede