Há 10 dicas práticas do que não fazer em caso de Incidentes cibernéticos. É o que mostra Alexandre Prata, sócio da Ventura ERM. Ele participou do Security Day, promovido pela Embratel na semana passada, e pontuou ser impossível não percebermos que cada dia mais incidentes cibernéticos se aproximam das organizações. “O mal está próximo da nossa casa e é mais do que necessário falarmos sobre isso e nos prepararmos para os incidentes”, afirmou.
Prata lembrou que o cyber não é algo novo, mas que houve um tempo em que ele esteve dentro das pastas de infraestrutura, de operações e de tecnologia. “A gente já fazia cyber naquela ocasião, mas hoje a complexidade é algo que salta aos olhos. Estamos diante de desafios muito grandes nas organizações”, comentou.
Complexidade das informações aumenta os desafios
Os desafios estão diretamente ligados à complexidade da tecnologia da informação, alerta o especialista. À medida que os negócios exigem cooperação entre as organizações, isso acaba aumentando essa complexidade, no que diz respeito à segurança. Daí a necessidade de implementações mais robustas que atendam às demandas da transformação digital, que veio para mudar os negócios.
Mas para tornar esse processo ainda mais complexo, Prata comenta a questão da queda do perímetro. “Cada vez mais perdemos aquela noção da empresa que tinha muros e tinha limites muito bem definidos e nós conseguíamos aplicar as soluções de segurança, os controles, enfim, fazer segurança olhando o perímetro. As fronteiras das organizações se expandiram e é preciso saber como fazer a queda do perímetro com segurança.”
As 10 dicas apresentadas são reflexo do que a Ventura tem visto no mercado. “Percebe-se que as organizações colocam muito foco no meio dessa cadeia, ficando relegadas a um segundo momento a preparação, que é a primeira situação, e o pós- incidente. O foco se dá na detecção e análise, na contenção, erradicação e recuperação, muito em função do desejo da organização de resolver os incidentes trazendo soluções imediatas.
A prática, no entanto, traz uma abordagem de segurança descolada da realidade e complexidade em que essas organizações estão inseridas. “Nós não temos uma boa gestão de risco, pois ela é baseada em métodos qualitativos, dificultando um diálogo com os executivos e com uma expectativa de abordagem econômico/financeira; a segurança ainda é vista como uma entidade “xerifona”, que não é uma parceira de soluções do negócio. Existe uma grande desconexão do cyber com o negócio. As organizações estão pulando elementos básicos, como gestão de identidade e acesso, a questão da gestão de vulnerabilidade, as credenciais de acesso, a ausência de uma abordagem pragmática nos riscos de segurança da informação e a fragilidade nas aplicações.”
Com relação ao pós-incidente essas etapas não existem, assegura Prata. Quase sempre o incidente vai produzir uma lista de ações onde controles que não existiam passam a ser implementados, mas sem eliminar o gap em relação à gestão de riscos. “Há uma melhoria de orçamento, mas as decisões são tomadas no calor do momento, sem a governança necessária para que se adote a internalização desse conhecimento junto às equipes e, inevitavelmente, se não há uma boa introdução do incidente na agenda corporativa, esse tema tende a esfriar.”
Segundo ele, vale ressaltar que qualquer modelo de tratamento de incidente preconiza e valoriza a parte de lições aprendidas.
Confira as dicas de segurança
1 – Não tome grandes decisões sozinho
Boa parte das empresas não possui um processo estabelecido para gestão de incidentes com papéis muito bem definidos. Sendo assim, é melhor que as grandes decisões sejam tomadas por meio de uma análise colegiada.
2 – Não seja o negociador
Se você não estiver preparado para estar nesse lugar, não exerça essa posição. Toda e qualquer decisão de negociação deve ser muito bem estruturada, deve ser uma decisão corporativa. Deve-se pensar nas consequências seguintes, no próximo passo.
A realidade aponta que os atacantes são organizações criminosas muito bem estruturadas e que têm uma grande eficácia em alcançar seus objetivos. Ataque é uma fatalidade. A organização não tem ingerência sobre o evento de ataque, mas tem a opção de negociar ou não. O negociar deve ser muito bem ponderado, principalmente em relação às consequências do que isso pode representar para as organizações.
3 – Não confie no outro lado
Conhecer os ativos e saber onde as fragilidades residem facilita bastante essa interlocução e tomada de decisão; ter protocolos específicos para casos não tão óbvios, que não aparentem dolo, ajuda. É recomendável desconfiar sempre e ter um processo de Bug Bounty para poder acolher essas situações.
4 – Não subestime o problema: investigue profundamente
É necessário mergulhar no incidente, entender o que realmente aconteceu. Existe um gatilho emocional que busca respostas imediatas com foco na normalidade, no entanto, isso pode prejudicar as investigações. O incidente tem que ser comunicado a “quem de direito”, de maneira eficaz. A linha do tempo do incidente pode ajudar a entender e explicar o que aconteceu, assim como também fortalecer a operação.
5 – Não economize na diligência e transparência
O incidente tem que ser comunicado a “quem de direito”, verificando-se quais são as partes interessadas e o que é preciso liberar para elas. Para isso é importante que exista um plano de comunicação, de maneira que seja possível tratar a situação tranquilamente.
6 – Não seja negligente: preserve todos os vestígios
É necessário ter atenção total com os vestígios, com aquilo que será coletado no menor tempo possível, sabendo-se que existe uma grande volatilidade de alguns artefatos e que são esses vestígios que vão ajudar a explicar o incidente.
7 – Não deixe de observar o bem-estar do time
É comum o incidente ocorrer no final de semana ou feriado e a equipe não contar com apoio da limpeza, reposição de café e água, coisas básicas que vão ajudar bastante na condição de quem está no front. É importante ter em mente que isso precisa ser planejado e previamente definido.
8 – Não esmoreça: investigue todas as causas
É normal as causas serem afastadas por conta de uma cultura de caça às bruxas. As organizações precisam cada vez mais cedo estabelecer que as causas devem ser investigadas e definidas por uma questão de melhoria contínua.
9 – Não é hora de ser jogado de “call em call”, lidere!
O mais importante para o líder é dar atenção à sua equipe. Estabeleça primeiramente atenção à equipe, lidere e estabeleça protocolos para que as comunicações sejam mantidas e acordadas em termos periódicos.
10 – Não se esqueça: use ajuda profissional
Muito importante contar com ajuda dos profissionais do mercado. A solução tem que ser adequada e definitiva, consistente e que não introduza novos riscos. Ela tem que ser sistematicamente tratada, tem que poder ser reproduzida e permitir ao negócio voltar à normalidade o mais rápido possível, além de gerar conhecimento.
