fbpx

Trabalhar com TI demanda diversas competências e cuidados para se proteger das ameaças cibernéticas. Os dados e informações gerados em uma empresa são ativos fundamentais. Uma pequena situação pode se tornar algo muito maior, caso não haja um plano de resposta a incidentes. Logo, uma equipe específica pode ser criada para essa finalidade.

O CSIRT (Computer Security Incident Response Team) funciona como um time responsável pelo monitoramento e resposta a possíveis incidentes de segurança. Ele desenvolve e cumpre juntamente a outros departamentos os procedimentos contidos no plano de resposta a incidentes. Para criar soluções efetivas, a SANS Institute desenvolveu um manual com 6 passos que direcionam ao seu desenvolvimento.

Confira, logo abaixo, as etapas que compõem o plano de resposta a incidentes!

1. Preparação

A preparação aborda como a equipe vai lidar com a ocorrência de um incidente. Isso inclui comunicação externa e interna, bem como documentação de incidentes. Para essa finalidade é fundamental ter uma política de segurança corporativa definida contendo diretrizes sobre quais os riscos a empresa está exposta e quais medidas preventivas devem ser tomadas.

2. Identificação

Esta etapa define os critérios que vão ativar o CSIRT. Por exemplo, quando um ataque de força bruta é detectado, imediatamente o plano de resposta a incidentes é acionado e a equipe entra em ação. Todo conjunto de atividade incomum deve ser tratado o mais rápido possível pelo time assim que identificado e os alertas emitidos.

3. Contenção

Há dois tipos de contenção: curta e longa. A de curto prazo tem a característica de ser uma resposta imediata, a fim de impedir que o ataque cause danos. Já a contenção de longo prazo abrange o restabelecimento do sistema à sua produção normal após a neutralização dos backdoors e arquivos maliciosos que viabilizaram o ataque.

4. Erradicação

Esta fase é fundamental para a continuidade dos negócios. Ela visa restaurar todos os sistemas corporativos afetados por um incidente de segurança. Isso se dá por meio da aplicação do plano de resposta a incidentes, removendo qualquer vestígio do ataque. A atualização constante dos sistemas e medidas corretivas são essenciais para evitar a repetição da mesma situação.

5. Recuperação

A recuperação aborda como trazer todo o sistema a seu funcionamento padrão. Nesse momento é preciso fazer uma varredura para averiguar se não ouve perdas e como recuperar possíveis dados perdidos. Isso envolve cópias de segurança armazenadas em um sistema em nuvem para restabelecer todas as informações necessárias para o fluxo de trabalho.

6. Lições aprendidas

Esta fase aborda a documentação das ocorrências de incidentes e os procedimentos de resposta a eles. Dentro disso, a empresa consegue criar um material com o histórico de ocorrências contra a segurança e as devidas ações tomadas, tornando a organização mais preparada para lidar com transtornos futuros.

Dessa maneira, para concluir cada uma dessas etapas de elaboração do plano de resposta a incidentes, existe a possibilidade de contratar uma empresa especializada. Ela traz benefícios de ganho de tempo, maior expertise para as soluções e experiência com procedimentos e ferramentas de segurança da informação.

E então, gostou? Agora que você conhece as etapas que compõem um plano de resposta a incidentes, compartilhe este conteúdo nas redes sociais com seus amigos.