Por que você precisa de um plano de resposta a incidentes?

Transcrição

1 Por que você precisa de um plano de resposta a incidentes?

2 SUMÁRIO 1... Introdução 2... A importância da resiliência cibernética 3... Do que você precisa para gerar um plano de resposta a incidentes? Time de gestão de crise Ações de resposta a incidentes Durante um ataque Depois do incidente 4... Como a KSecurity pode ajudar

3 Introdução As empresas investem muitos recursos e tempo na construção de uma boa imagem pública e de uma ótima reputação junto a clientes, parceiros e outros stakeholders. Porém, tudo isso pode ir por água abaixo diante de um único ataque cibernético que comprometa dados de clientes ou funcionários, ou operações críticas de negócio. Os cibercriminosos e os hackativistas sabem o quanto as empresas prezam por seus clientes e parceiros e, com isso, estão mirando cada vez mais na reputação e na confiança dos stakeholders em suas estratégias de ataque, causando, em um único ataque, uma série de danos duradouros, imprevisíveis e de difícil controle. Recentemente, por exemplo, criminosos tentaram extorquir dinheiro dos sócios da corretora brasileira XP Investimentos, ameaçando expor informações roubadas de cerca de 29 mil clientes da empresa. Em um dos pedidos, os hackers chegaram a pedir R$ 22,5 milhões em bitcoins para não vazar os dados. Se antes hospitais, escolas e bancos eram tidos como ambientes seguros, hoje as empresas do setor de saúde, educação e finanças estão sofrendo sucessivos golpes diante de ataques DDoS e ransomware. Cada nova notícia sobre um incidente de segurança viola ainda mais a confiança do consumidor ou eleitor, caso o incidente envolva órgãos governamentais ou candidatos a eleições. Além dos danos à reputação as violações de dados estão cada vez mais caras, não apenas por causa dos custos de remediação, mas também devido às exigências de notificação e restituição do incidente, às multas, às ações judiciais, às perdas nas vendas e à queda no preço das ações. Algumas empresas de pequeno e médio porte podem nunca se recuperar diante destes gastos. O último estudo Cost of Data Breach 2016, do Instituto Ponemon, revelou que o prejuízo das empresas com as violações de dados passou de R$ 3,96 milhões para R$ 4,31 milhões em apenas um ano no Brasil. O relatório revelou que cada dado violado pode custar até R$ 225 para as empresas. 1

4 Os dados mostram que as empresas brasileiras ainda precisam de mais conscientização em relação à importância da segurança da informação, especialmente sobre a necessidade de contar com um plano de resposta a incidentes, algo que raramente encontramos no país. Diante de um cenário com ameaças cada vez mais complexas, qualquer empresa, independente do tamanho, deve presumir que, eventualmente, poderá sofrer com os impactos de ataques cibernéticos imprevisíveis mesmo que a organização já invista em prevenção de incidentes. Investir em um plano de resposta a incidentes é essencial para garantir a resiliência da empresa diante dos ataques. Hoje é comum nos depararmos com empresas que contam com alguma estratégia de gestão de riscos, no entanto, isso está longe de ser considerado eficiente quando um ataque cibernético está em andamento. Prejuízo das empresas brasileiras com as violações de dados $ $ $ R$3,96 milhões $ $ $ $ R$ 4,31 milhões Custo de cada dado violado R$ 175 R$

5 A importância da resiliência cibernética As empresas de pequeno e médio porte podem nunca se recuperar diante de um ataque cibernético. Porém, mesmo as grandes empresas podem acabar com grandes danos devido a uma violação de dados. Um plano de resposta a incidentes ajuda a reter a confiança de clientes e parceiros diante de um ataque cibernético e economiza custos ao ajudar a conter os danos gerados pelo incidente de segurança. Segundo o estudo divulgado pelo Instituto Ponemon, violações contidas dentro de até 30 dias de descoberta custam, em média R$ 4,05 milhões. Caso a empresa leve mais de 30 dias para conter o incidente, o custo médio sobe para R$ 4,48 milhões. Esse dado mostra a importância que uma resposta rápida tem durante um ataque cibernético, especialmente na contenção dos danos, não apenas em termos de reputação, mas também em termos financeiros. Com uma interligação cada vez maior entre governos, negócios e segurança pessoal, a resiliência é cada vez mais importante para conter os efeitos de um ataque cibernético em sistemas interdependentes. Além de ajudar a conter os danos, os planos de resposta a incidentes são importantes para que as empresas melhorem suas defesas e construam melhores respostas aos incidentes no futuro. Por isso, as empresas precisam estabelecer um plano de resposta a incidentes que vá além da remediação de ataques, desempenhando o papel de um verdadeiro planejamento para gerir crises originadas em ataques cibernéticos. 3

6 Isso deve ter início com a definição de um time de gestão de crises cibernéticas formado por profissionais de diversos departamentos. Algumas das empresas mais resilientes do mundo têm apontado uma espécie de coordenador para esse tipo de iniciativa, que pode ser o gestor de segurança, o CSO ou o CISO, para acompanhar as operações de segurança e informar o restante do time sobre suas responsabilidades. Em seguida, é preciso desenvolver um guia, ou seja, um playbook de segurança que descreva detalhadamente as ações a serem tomadas diante de um ataque, bem como as funções de cada integrante da equipe de gestão de crise. Além de um playbook de segurança, um planejamento de resposta a incidentes robusto deve incluir uma previsão de possíveis cenários, bem como a tomada de ações decisivas e a gestão de comunicação. Esses processos podem envolver stakeholders internos e externos. Custos de uma violação de dados contida em R$ 4,05 milhões Dentro de 30 dias R$ 4,48 milhões Mais de 30 dias 4

7 Do que você precisa para gerar um plano de resposta a incidentes? A gestão de riscos corporativos deve ser construída sobre uma base de preparação para gerar resiliência por meio de uma avaliação de vetores de ameaças, que deve ser feita com um certo nível de aceitabilidade, com um perfil de riscos. Os gestores de cibersegurança devem incentivar a colaboração de toda a empresa, alinhando as necessidades de negócio e de marketing e alinhá-las à estratégia de TI. A TI deve ser responsável por intermediar essa conversa, fazendo com que o assunto ressoe nos tomadores de decisão e, ao mesmo tempo, suporte os objetivos de negócio. Levar a empresa a uma posição de resiliência é a melhor maneira de proteger os ativos críticos e os funcionários. Quando uma violação de dados ocorre, a tomada de decisão requer dados precisos. Por isso, empresas de todos os tamanhos precisam começar a se preparar antecipadamente para garantir que serão capazes de lidar com os desafios crescentes de segurança da informação. É comum encontrarmos empresas que se planejam para incêndios, inundações e outros tipos de desastres naturais capazes de impactar a resiliência do negócio. Por que seria diferente com a segurança da informação? O propósito de um plano de resposta a incidentes é justamente oferecer a todos os membros da empresa um entendimento claro de suas responsabilidades em termos de segurança da informação antes, durante e depois de um incidente. Confira os principais aspectos que um plano de resposta a incidentes deve abordar: 5

8 Time de gestão de crise As empresas precisam formar um time de gestão de crise antes que um ataque ocorra. As organizações devem incluir profissionais de vários níveis e departamentos nesta equipe para garantir a participação do maior número de pessoas possível. Entre os profissionais que devem fazer parte dessa formação estão: CEO/CTO Líderes de segurança/ti Departamento de TI Eles são responsáveis por divulgar a mensagem em toda a empresa e se comunicar com os outros executivos Assessoria de imprensa e comunicação corporativa É necessário para lidar com a cobertura da imprensa e pela disseminação da mensagem acordada pela empresa Esses profissionais são responsáveis por conduzir as conversas relacionadas à segurança da informação e sensibilizar os executivos em relação ao tema Jurídico Contribuirão com a expertise técnica e, apesar de certamente terem de ser envolvidos, não devem ficar com a responsabilidade de tomar decisões de negócio Contribuirão com a expertise técnica e, apesar de certamente terem de ser envolvidos, não devem ficar com a responsabilidade de tomar decisões de negócio Outros De acordo com as necessidades do negócio, o CEO e o CTO devem decidir se outros membros ou departamentos devem ser inclusos no time de gestão de crise 6

9 Ações de resposta a incidentes Depois que o time estiver definido e ciente de sua posição, é preciso determinar quais são os passos essenciais a serem tomados caso ocorra um incidente de segurança. Isso inclui o desenvolvimento de um playbook de segurança com as ações a serem tomadas para: Detecção, notificação, análise e investigação do incidente; Resposta, contenção, remediação e restauração; Comunicação e entendimento do que pode ser aplicado em estratégias de defesa e resposta para o futuro Não existe uma regra que se aplica a todos os planos de resposta a incidentes. Antes de definir a estratégia certa para a empresa, é preciso ter um entendimento de quais são os dados mais importantes a proteger. Por isso, é importante que as empresas executem um risk assessment e trabalhem junto a uma consultoria de segurança para auxiliar no desenvolvimento do plano de respostas ideal para o negócio. Além disso, antes que um ataque ocorra, as empresas precisam testar seu plano de resposta continuamente para identificar pontos fracos enquanto ainda há tempo. O ideal é que os testes sejam feitos em frequência semestral ou anual. 7

10 Durante um ataque Assim que a equipe de segurança identificar um problema, é preciso acionar o time de gestão de crise e, posteriormente, dar início à execução do plano de resposta a incidentes. O objetivo é começar a lidar com o ataque rapidamente para limitar os impactos financeiros e de reputação. Para isso, é necessário que o time de crise consiga se comunicar com toda a empresa para deixar todos cientes de suas responsabilidades e começar a implementar as ações de remediação e contenção. Quanto mais rápido e mais efetivamente a empresa reagir a um ataque, melhor será a probabilidade de reduzir o impacto e os custos para a organização. Durante este período, é importante estabelecer uma mensagem clara a ser divulgada pela empresa. Atualmente, é difícil manter notícias em segredo por muito tempo, especialmente no caso de uma violação de dados, em que os fornecedores geralmente disseminam a notícia. Portanto, contar com um plano de comunicação para crises é essencial. Trabalhando junto ao jurídico e à área de comunicação corporativa, a empresa pode decidir qual é a melhor mensagem em torno do incidente e também entender quais informações divulgar. 7

11 Depois do incidente Depois de executar as ações de remediação, é preciso começar a controlar os danos. Mesmo contando com um plano de remediação, diante de uma violação de dados, é praticamente impossível não ter de lidar com nenhuma consequência, seja em termos financeiros ou de reputação. Após sobreviver ao incidente, é hora de revisar sua estratégia de resposta, identificando pontos fracos em equipamentos, sistemas e procedimentos que precisam de correção para reduzir as possibilidades de ter que enfrentar ataques semelhantes novamente. Caso o incidente afete dados de clientes, a empresa precisa trabalhar com o departamento jurídico para decidir como lidar com essa questão. 7

12 Como a KSecurity pode ajudar A KSecurity é uma empresa de segurança da informação fundada em 2008 com o objetivo de oferecer um serviço de consultoria para mapear as necessidades e fornecer as melhores soluções para transformar investimentos em segurança em retorno para o negócio. Saiba como podemos ajudar a desenvolver a melhor estratégia de segurança para o seu negócio: Consultoria O serviço de consultoria da KSecurity oferece segurança da informação 360º adequada para cada empresa. A consultoria consiste em duas etapas o Risk Assessment e o Security Solutions, por meio das quais uma equipe com alto nível de expertise faz um mapeamento dos principais pontos de falha, dos sistemas críticos e das vulnerabilidades e ameaças que geram mais risco ao negócio e, em seguida, recomenda as melhores decisões em termos de implementações de serviços e soluções para proteger o ambiente da empresa. Managed Security Services (MSS) A KSecurity desenvolveu um serviço de gestão e monitoramento de TI 24 x 7, garantindo sua eficácia e a tomada de medidas preventivas e proativas para minimizar riscos, paradas e custos relacionados à incidência de ataques cibernéticos. O serviço permite ainda apresentar o desempenho e as melhorias obtidas com eventuais soluções de segurança implementadas. Risk Assessment Conhecer seus ativos e vulnerabilidades é essencial para que os profissionais de segurança possam proteger o ambiente das ameaças persistentes avançadas, permitindo que a empresa foque nos ativos mais valiosos para o negócio. A KSecurity oferece um serviço especializado de análise e levantamento do nível de maturidade e risco do ambiente tecnológico das corporações. 13

13 Quer saber como a Ksecurity pode ajudar a sua empresa? Clique e acesse facebook.com/ksecurity Av. Queiroz Filho, Torre B - River Tower Sala CEP Villa Lobos São Paulo - SP - Brazil +55 (11)