O blog da segurança de dentro para fora Blog

Métricas de resposta a incidentes de sucesso dependem de avaliação constante

Métricas de resposta a incidentes de sucesso dependem de avaliação constante

Definir as métricas da sua equipe de resposta a incidentes é imprescindível para garantir resultados positivos. No Brasil, são poucas as empresas que investem em respostas a incidentes de segurança e isso tem um custo alto para o mercado em geral. O improviso em um momento de ataque acaba gerando ainda mais problemas e gastos, além de prejudicar o andamento dos processos da empresa.

É preciso definir quais são as informações necessárias para responder as principais questões do TI. Para obter sucesso na resposta a incidentes, existem cinco métricas básicas que sua equipe deve seguir. Estas são: tempo de permanência do invasor na rede, triagem para identificar danos, fechamento da janela de exposição, identificação do incidente e definição de método. Essas métricas são mínimas para uma boa estratégia de resposta a incidentes, porém, quanto mais forem adicionadas, melhores são os resultados de defesa.

Especialistas recomendam o uso de taxonomias prontas para classificar os incidentes em categorias, pois, assim, é possível poupar o tempo que sua equipe teria para desenvolver um próprio e, ainda, analisar relatórios publicados de outras empresas. Para escolher a taxonomia ideal para sua empresa, é válido considerar quais foram as escolhas de empresas da sua indústria.

Essa tarefa é um pouco difícil, pois pode ser necessário expandir o rastreamento para conseguir esses novos dados. Para facilitar esse processo, é possível utilizar ferramentas que criam campos personalizados e rastrear esses dados específicos.

A maioria das pessoas acaba encontrando vários problemas ao coletar dados de taxonomias mais complexas. Em caso de ferramentas não muito flexíveis, o indicado é optar por um tipo de ferramenta de pesquisa para inserir e extrair apenas os metadados do incidente e manter os resultados desse caso em seu sistema de rastreamento atual. A partir do momento em que sua equipe tiver esses dados disponíveis, é possível mensurar como as mudanças afetam o ambiente. Por isso, é importante acompanhar tudo em tempo real, desde as mudanças de processos até a implementação de novas ferramentas.

Para avaliar se suas métricas estão entregando os resultados esperados, responda a questões como “qual a média de tempo para detectar uma invasão?”, “quanto tempo sua equipe ganhou com o novo processo?”, “quais incidentes demandam mais tempo” e “você precisa treinar melhor sua equipe ou aperfeiçoar suas ferramentas?”. As respostas para essas perguntas podem ajudá-lo a entender melhor os processos e descobrir como melhorá-los.

As organizações brasileiras não têm o hábito de se preparar para possíveis ataques de hackers. Há uma cultura ruim de sempre achar que não é um alvo desejável ou que nunca vai acontecer com a sua empresa. Porém, vemos o quanto os ataques têm evoluído e se tornado sofisticados, colocando em risco cada vez mais empresas de todos os portes e indústrias.

Ter um plano de resposta a incidentes é a garantia de poder responder a ataques de forma adequada e rápida, evitando grandes danos. Além disso, uma boa estratégia permite que a empresa poupe custos de recuperação de informação em caso de ataques bem sucedidos.

We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works