Definir as métricas da sua equipe de resposta a incidentes é imprescindível para garantir resultados positivos. No Brasil, são poucas as empresas que investem em respostas a incidentes de segurança e isso tem um custo alto para o mercado em geral. O improviso em um momento de ataque acaba gerando ainda mais problemas e gastos, além de prejudicar o andamento dos processos da empresa.
É preciso definir quais são as informações necessárias para responder as principais questões do TI. Para obter sucesso na resposta a incidentes, existem cinco métricas básicas que sua equipe deve seguir. Estas são: tempo de permanência do invasor na rede, triagem para identificar danos, fechamento da janela de exposição, identificação do incidente e definição de método. Essas métricas são mínimas para uma boa estratégia de resposta a incidentes, porém, quanto mais forem adicionadas, melhores são os resultados de defesa.
Especialistas recomendam o uso de taxonomias prontas para classificar os incidentes em categorias, pois, assim, é possível poupar o tempo que sua equipe teria para desenvolver um próprio e, ainda, analisar relatórios publicados de outras empresas. Para escolher a taxonomia ideal para sua empresa, é válido considerar quais foram as escolhas de empresas da sua indústria.
Essa tarefa é um pouco difícil, pois pode ser necessário expandir o rastreamento para conseguir esses novos dados. Para facilitar esse processo, é possível utilizar ferramentas que criam campos personalizados e rastrear esses dados específicos.
A maioria das pessoas acaba encontrando vários problemas ao coletar dados de taxonomias mais complexas. Em caso de ferramentas não muito flexíveis, o indicado é optar por um tipo de ferramenta de pesquisa para inserir e extrair apenas os metadados do incidente e manter os resultados desse caso em seu sistema de rastreamento atual. A partir do momento em que sua equipe tiver esses dados disponíveis, é possível mensurar como as mudanças afetam o ambiente. Por isso, é importante acompanhar tudo em tempo real, desde as mudanças de processos até a implementação de novas ferramentas.
Para avaliar se suas métricas estão entregando os resultados esperados, responda a questões como “qual a média de tempo para detectar uma invasão?”, “quanto tempo sua equipe ganhou com o novo processo?”, “quais incidentes demandam mais tempo” e “você precisa treinar melhor sua equipe ou aperfeiçoar suas ferramentas?”. As respostas para essas perguntas podem ajudá-lo a entender melhor os processos e descobrir como melhorá-los.
As organizações brasileiras não têm o hábito de se preparar para possíveis ataques de hackers. Há uma cultura ruim de sempre achar que não é um alvo desejável ou que nunca vai acontecer com a sua empresa. Porém, vemos o quanto os ataques têm evoluído e se tornado sofisticados, colocando em risco cada vez mais empresas de todos os portes e indústrias.
Ter um plano de resposta a incidentes é a garantia de poder responder a ataques de forma adequada e rápida, evitando grandes danos. Além disso, uma boa estratégia permite que a empresa poupe custos de recuperação de informação em caso de ataques bem sucedidos.