©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
Plano de resposta a incidente Featured

Plano de resposta a incidentes: guia para criar o da sua empresa

Equipe EcoTrust

8 min read
Plano de resposta a incidentes: guia para criar o da sua empresa

Sua empresa conta com um bom plano de resposta a incidentes? Você e seus colaboradores sabem exatamente o que fazer caso um problema dessa natureza venha a acontecer?

Contar com um plano de resposta a incidentes não é apenas ter uma lista de prioridades em mente. Esse plano precisa ter um caráter muito mais concreto.

É sobre isso que vamos falar ao longo dos próximos tópicos. Primeiramente, você vai entender o que é um plano de resposta a incidentes, já que existem muitos equívocos sobre esse conceito.

Além disso, você também vai saber por que é tão importante dedicar especial atenção à criação desse plano de acordo com a realidade do seu negócio.

Também vamos apresentar o passo a passo completo para que você não erre nem pule etapas importantes durante a concepção do seu plano de resposta a incidentes.

Se a sua empresa ainda não conta com este documento ou ele foi elaborado de maneira superficial, não deixe de ler os próximos tópicos.

O que é um plano de resposta a incidentes?

Para contar com um plano de resposta a incidentes eficiente e condizente com as necessidades do seu negócio, é preciso primeiro entender o conceito.

E não é possível saber o que é um plano de resposta a incidentes sem compreender o que é um incidente de segurança da informação.

Vamos começar, então, por este último conceito: um incidente de segurança corresponde a uma situação em que ocorre uma violação que compromete um ou mais pilares da segurança da informação.

Esses pilares são três: a confidencialidade, a integridade e a disponibilidade.

Ou seja, há um incidente de segurança quando, por exemplo:

  • Pessoas não autorizadas têm acesso a determinado conjunto de dados;
  • A integridade desses dados é comprometida (isso acontece, por exemplo, se houver uma perda ou sequestro de dados);
  • As pessoas devidamente autorizadas não conseguem acessar os dados para exercerem suas tarefas.

Entre outras situações.

Os incidentes de segurança da informação ganham maior atenção na atualidade quando envolvem dados pessoais, por conta da vigência da Lei Geral de Proteção de Dados (LGPD).

Ou seja, após o advento da Lei, tornou-se ainda mais importante contar com um plano de resposta a incidentes de excelência, conforme abordaremos no próximo tópico.

Voltando ao conceito de incidente, podemos classificá-lo como um acontecimento indesejado e inesperado capaz de comprometer a segurança dos dados que estejam sob a responsabilidade de uma empresa.

Esse acontecimento pode ser, por exemplo, um acesso não autorizado ou um acidente que provoque a perda ou alteração das informações.

Se você pensou nos ciberataques como o mais alarmante exemplo de incidente, você tem razão. Mas não é apenas a atuação dos hackers que pode causar um incidente de segurança.

São diversas as situações que podem culminar em um incidente de segurança, que vão desde as catástrofes naturais até a alteração acidental ou não dos dados por um colaborador.

Portanto, é preciso pensar de maneira bastante ampla ao criar um plano de resposta a incidentes para que todos os envolvidos saibam o que fazer diante das diferentes situações de incidentes possíveis.

Dito isto, podemos definir o plano de resposta a incidentes como um documento interno dedicado às medidas a serem adotadas em caso de incidentes de segurança da informação.

Este documento precisa ser amplamente conhecido tanto pelos gestores quanto pelos colaboradores do negócio, de modo que todos saibam exatamente o que fazer quando o incidente ocorrer.

Outro requisito do plano é o detalhamento. Ele não pode ser um documento engavetado e elaborado apenas para cumprir uma obrigação ou recomendação de especialistas da área de TI.

Sua concepção deve considerar aspectos práticos e ações que possam ser colocadas em prática com celeridade.

No próximo tópico, você vai entender melhor a importância do plano de resposta a incidentes para a sua empresa.

A importância de ter um plano de resposta a incidentes

A partir da transformação digital, empresas de todos os segmentos passaram a ter preocupações relacionadas à segurança cibernética.

De fato, não é preciso ser um gestor da área de tecnologia para compreender que uma falha ou uma invasão dos seus sistemas pode significar danos irreparáveis para o negócio como um todo.

Então, nada mais lógico do que fazer tudo o que for possível para evitar e mitigar os incidentes de segurança da informação.

Contar com um bom plano de resposta a incidentes é o passo fundamental nesse sentido. É ele que vai nortear a resolução do problema de modo a causar o menor prejuízo possível.

Uma das consequências mais imediatas de um incidente de segurança é o tempo de inatividade, que pode ser longo ou curto, a depender da eficiência da estratégia presente no plano.

Essa inatividade do seu sistema pode decorrer tanto dos temidos ataques cibernéticos quanto de outros problemas como  as falhas internas ou bugs, que são bastante comuns.

O erro de muitos gestores é acreditar que não vão passar por isso. Essa perspectiva leva à desqualificação da necessidade do plano de resposta a incidentes.

Esse posicionamento inconsequente eleva à máxima potência os riscos que o negócio vai correr quando o incidente acontecer.

As ações preventivas são extremamente necessárias, mas não garantem a mitigação de todos os riscos e não dão a garantia de impossibilidade dos incidentes.

Por maiores que sejam os cuidados tomados e por mais competente que seja a sua equipe, você precisa contar com o plano de resposta a incidentes.

Somente ele vai direcionar a sua equipe rumo às soluções mais eficientes e rápidas no momento em que o incidente for detectado.

Essa agilidade é fundamental na atualidade, sem falar que ela representa uma redução de custos na contenção do incidente.

Além de ser elaborado com eficiência, o documento precisa ser conhecido e compreendido por todos os colaboradores da empresa.

Sem a elaboração e divulgação interna adequada desse plano, você corre o risco de tomar decisões equivocadas quando for preciso lidar com uma situação negativa inesperada.

Então não espere a detecção de um problema para construir esse documento e, caso você já tenha um, lembre-se de que ele precisa ser atualizado e aprimorado constantemente.

Mantendo-se preparado para tomar decisões seguras diante de um incidente, você aumenta, inclusive, a credibilidade da sua empresa.

No próximo tópico, vamos demonstrar o passo a passo para você seguir ao elaborar o plano de resposta a incidentes.

Como criar um plano de resposta a incidentes

O primeiro requisito para contar com um excelente plano de resposta a incidentes é a compreensão de que ele deve passar constantemente por aprimoramentos.

Então, mesmo após elaborar o seu plano, seu trabalho não estará finalizado, pois o documento pode tornar-se obsoleto rapidamente.

Com isso em mente, existem alguns passos fundamentais para a elaboração e implementação do documento. Vamos abordar cada um deles:

Preparação

A preparação consiste nas primeiras ações a serem colocadas em prática antes que o documento comece a ser escrito.

Os primeiros detalhes a serem definidos são quem fará parte da equipe de resposta e quais tarefas cada colaborador envolvido irá assumir.

É importante lembrar que os colaboradores envolvidos não devem estar ligados apenas ao setor de tecnologia da informação.

Você deve pensar em uma perspectiva panorâmica e incluir, por exemplo, profissionais da área jurídica, do marketing e das relações públicas.

Outro ponto importante é o estabelecimento de critérios para a enumeração dos incidentes possíveis, com a importante definição do que será considerado um incidente no contexto do seu negócio.

Também é importante definir quais serão os gatilhos que vão acionar a sua equipe de resposta.

É nessa fase também que são criados modelos de comunicação de incidentes para todos os possíveis interessados: colaboradores, clientes, titulares de dados, imprensa e a Autoridade Nacional de Proteção de Dados (ANPD).

Essa etapa de preparação é fundamental e pulá-la pode significar a completa ineficiência do seu plano de ação.

Cada designação precisa ser bem fundamentada com o maior detalhamento possível e a explicação das responsabilidades dos colaboradores.

Identificação do incidente

A eficácia da segunda etapa do desenvolvimento do plano de resposta a incidentes é diretamente proporcional ao afinco dedicado à primeira.

Sem o estabelecimento dos critérios adequados, a identificação dos incidentes será imprecisa.

Então, não parta para a segunda etapa antes de contar com uma definição clara dos fatores que caracterizam um incidente para o seu negócio.

A partir desses fatores é que o processo de resolução do problema poderá ser iniciado. Nesse sentido, algumas perguntas a serem respondidas são as seguintes:

  • Quando o incidente ocorreu?
  • Como o incidente foi detectado?
  • Quem identificou o incidente?
  • Quais foram os impactos imediatos do incidente?
  • Qual é o alcance possível para cada um desses impactos?
  • Novos impactos podem surgir? Quais?
  • As operações da empresa foram afetadas?
  • A origem do incidente foi descoberta?

Com essas e outras informações que puderem ser recolhidas sobre o incidente devidamente documentadas, é possível partir para a etapa seguinte.

Controle do incidente

Esta é a etapa mais esperada pelos gestores, o que, muitas vezes, os leva a negligenciar os passos anteriormente citados.

Mas sem as informações levantadas até aqui, ela não será cumprida integralmente. Então, a regra é não pular etapas.

Este é o momento de fazer uma avaliação mais detalhada do incidente detectado. Para isso, busque e documente as respostas para as seguintes questões:

  • Qual foi a causa do incidente?
  • Quais vulnerabilidades foram exploradas para possibilitar o incidente?
  • Houve utilização de credenciais comprometidas? Quais foram essas credenciais?
  • Quais equipamentos, sistemas e redes foram comprometidos?
  • Quantos e quais setores do negócio foram afetados?
  • Houve exposição, transferência ou sequestro de dados?
  • Quais dados exatamente foram afetados?

A partir dessas respostas, será possível atuar no sentido de evitar a propagação do incidente, para que seus danos não sejam maximizados.

Ao definir as estratégias de contenção do incidente, pense tanto a curto quanto a longo prazo.

Por exemplo, se você acredita que a contenção do incidente consiste apenas em apagar sua existência e suas consequências o mais rápido possível para ficar livre do problema, é sinal de que o seu plano de resposta a incidentes não conta com uma boa estratégia de longo prazo.

Com essa atitude, você pode acabar destruindo evidências da origem do incidente que poderiam representar a possibilidade de aprimoramento da sua estratégia.

Aniquilação do incidente

Depois de colocar em prática uma estratégia eficiente de contenção do problema, será o momento de desvendar e erradicar as causas dele.

Ou seja, nesta etapa você vai promover correções e atualizações minuciosas dos seus sistemas para que o problema de segurança detectado deixe de existir.

A diferenciação entre esta etapa e a anterior demonstra que não basta paralisar os efeitos do incidente.

Você precisa conhecer e combater as origens do mesmo para que o seu negócio não permaneça correndo os mesmos riscos.

A ação prática ligada a esta etapa vai depender das especificidades do incidente, mas o objetivo será sempre o de evitar que ele cause novos prejuízos.

Ou seja, você terá que atuar na raiz do problema e definir formas enérgicas de contenção. Pode ser, inclusive, que você precise desabilitar um sistema.

A preservação das evidências é muito importante nesta etapa para identificar mais detalhadamente o que ocorreu.

Restauração

Este é o momento de recuperar e restabelecer as atividades dos dispositivos e sistemas afetados pelo incidente de segurança.

Ou seja, é nesta etapa que as atividades do seu sistema retomam sua normalidade e, para isso, o processo de restabelecimento precisa ser bem estruturado e detalhado.

Neste momento, você também pode acionar o plano de continuidade dos negócios e o plano de recuperação de desastres, caso sua empresa conte com esses documentos.

A restauração de backups e a clonagem de máquinas virtuais podem estar presentes nesta etapa do plano de resposta a incidentes.

Aprendizado e documentação

É esta etapa a responsável pela redução dos riscos de que um novo incidente de segurança aconteça.

Neste momento, você deve analisar todas as informações ligadas ao incidente e também as ações que possibilitaram a sua mitigação.

Essa análise aliada às observações de cada componente da sua equipe de resposta irá proporcionar uma melhoria do seu plano.

As lições aprendidas precisam ser devidamente documentadas, para que possam ser acessadas e compreendidas futuramente.

Assim, você vai compreender a fundo os erros, vulnerabilidades e melhorias necessárias para uma tomada de decisões mais assertiva.

E não são apenas os aprendizados que precisam ser documentados. Todas as etapas seguidas e as ações colocadas em prática também precisam.

Com isso, seu negócio vai ganhando experiência e segurança para agir nos eventuais incidentes futuros, contribuindo também para a sua gestão de riscos.

A propósito, para integrar o seu plano de resposta a incidentes com a sua gestão de riscos, leia Gestão de riscos e vulnerabilidades: qual a importância? Até o próximo conteúdo!

Inscreva-se para mais como este.

Enter your email
Subscribe