Os incidentes de segurança cibernética continuam a crescer em volume e sofisticação, com 64% mais incidentes de segurança relatados em 2015 do que em 2014, de acordo com um relatório de junho de 2016 pelo Ponemon Institute, o instinto humano é tentar encontrar os responsáveis. No entanto, qualquer tentativa de acessar, danificar ou prejudicar outro sistema que parece estar envolvido em um ataque é provavelmente ilegal e pode resultar em responsabilidade civil e / ou criminal. Uma vez que muitas invasões e ataques são lançados a partir de sistemas comprometidos, há também o perigo de danificar o sistema de uma vítima inocente.
Na sequência de uma violação, as organizações devem centrar-se em minimar danos e perda de dados com o fornecimento de informações para a aplicação da lei. Sócio da Ballard Spahr, LLP e ex-Assistente do Procurador dos EUA, Ed McAndrew, e Presidente e CEO da Guidance Software, Patrick Dennis compilaram as melhores práticas para preparar e responder a um cyber-ataque e trabalhar com a polícia.
Identificar ativos-chave
Dependendo das necessidades de uma organização, pode ser custo proibitivo para proteger toda a sua empresa. Antes de criar um plano de incidente cibernético, uma organização deve determinar quais dos seus dados, ativos e serviços garantem a maior proteção.
Ter um plano de ação
Criação de planos e procedimentos para tratar que medidas devem ser tomadas após um ataque pode ajudar qualquer organização a limitar a quantidade de danos às suas redes. Isso inclui identificar quem tem a responsabilidade principal por diferentes elementos da resposta de um evento cibernético de uma organização, a capacidade de entrar em contato com o pessoal crítico em todos os momentos, saber quais dados, redes ou serviços da parte crítica devem ser priorizados para a maior proteção e como preservar dados relacionados ao incidente de forma forense. Ele também ajuda a capacidade de aplicação da lei para localizar e apreender os invasores.
Envolver-se com a aplicação da lei antes de um ataque
Ter uma relação pré-existente com as autoridades de aplicação da lei federal pode ajudar a facilitar todas as interações relacionadas a uma violação. Ele também irá ajudar a estabelecer uma relação de confiança que cultiva partilha de informação que é benéfico para a organização e para a aplicação da lei.
Mantenha-se informado sobre ameaças
A consciência de uma organização de vulnerabilidades novas ou vulgarmente exploradas pode ajudá-lo a priorizar as suas medidas de segurança. Existem organizações que compartilham informações em tempo real sobre ameaças. Por exemplo, foram criados Centros de Compartilhamento e Análise de Informações, que analisam informações sobre ameaças cibernéticas, em cada setor da infra-estrutura crítica. Alguns centros também oferecem serviços de segurança cibernética.
Fazer uma avaliação inicial da ameaça
Uma vez identificado um ataque ou violação, é fundamental avaliar a natureza e o escopo do incidente. Também é importante determinar se o incidente foi um ato malicioso ou uma falha tecnológica. A natureza do incidente determinará que tipo de assistência a organização precisará e que tipo de danos e esforços de reparação podem ser necessários.
Capturar a extensão do dano
Inicialmente, a vítima de um ataque cibernético fará uma imagem forense dos computadores afetados assim que o incidente for detectado. Isso preserva um registro do sistema para análise e potencialmente para uso como evidência em um julgamento. As organizações devem restringir o acesso a estes materiais, a fim de manter a integridade da autenticidade da cópia, protegê-lo de invasores maliciosos não identificados e estabelecer uma cadeia de custódia.
Notificar a aplicação da lei
No passado, algumas empresas mostraram-se relutantes em entrar em contato com a lei após um incidente cibernético, devido a preocupações de que uma investigação criminal poderia interromper seus negócios. Entretanto, o FBI eo serviço secreto dos EU estão cometidos a causar tão pouco interrupção às operações normais de uma organização quanto possível. Essas duas agências também tentarão coordenar declarações com a imprensa sobre o incidente, garantindo que as informações prejudiciais aos interesses de uma empresa não sejam desnecessariamente divulgadas.
Trabalhar com a aplicação da lei para contactar outras vítimas potenciais
É preferível contactar outras potenciais vítimas através da aplicação. Isso protege a vítima inicial de exposição potencialmente desnecessária e permite que a aplicação da lei conduza mais investigações, o que pode revelar vítimas adicionais.
