No mundo dinâmico da resposta e recuperação a ciberataques, o fator determinante é o timing. A rápida descoberta de ataques geralmente indica que este ainda se encontra na sua fase inicial, aumentando assim as hipóteses de recuperar ativos afetados, minimizar danos e evitar interrupções dispendiosas.
Infelizmente, a deteção prematura nem sempre é uma realidade.
Segundo o Relatório de 2022 da CrownStrike ‘Falcon OverWatch Threat Hunting’, em média, um atacante consegue penetrar na rede a partir do primeiro ponto de comprometimento em apenas 1 hora e 24 minutos. Surpreendentemente, uma pesquisa da IBM realizada em 2022 revelou que a identificação e contenção de uma violação de segurança leva em média 277 dias. Esse intervalo de tempo oferece uma oportunidade significativa para utilizadores mal-intencionados circularem livremente e causarem graves perturbações nas operações das empresas. E é aí que entram duas palavras que nenhuma empresa deseja ouvir: Remediação Empresarial.
Neste momento crítico, um problema de IT desencadeia um esforço abrangente em toda a empresa para restaurar as operações com eficácia. Para enfrentar esse desafio, é crucial adotar medidas estratégicas que aumentem a capacidade de resposta, minimizando a carga da equipa. Com isso em mente, apresentamos a seguir cinco passos essenciais que as empresas podem seguir para otimizar a recuperação, garantindo assim um processo mais suave e eficiente.
1. Constituir uma Equipa de Gestão de Incidentes
Uma remediação empresarial eficaz requer uma equipa de gestão de incidentes dedicada. É essencial contar com especialistas em cibersegurança como parte da mesma. Ao constituir a equipa, deve começar por designar um gestor de incidentes que irá organizar os esforços, liderar as comunicações internas, gerir tarefas-chave e garantir a eficiência do processo.
Em seguida, deve implementar uma estrutura de resposta que identifique os elementos operacionais necessários, atribuir responsabilidades e definir fluxos de trabalho. Além disso, deve investir na contratação de especialistas em cibersegurança que possam trazer conhecimentos especializados para a equipa. Estes vão desempenhar um papel fundamental na identificação e mitigação de ameaças, bem como na implementação de medidas preventivas.
2. Atribuir Gestores de Incidentes Competentes
Uma tarefa fundamental para os gestores de incidentes será gerir o processo de resposta de forma eficiente. Neste contexto, a ajuda de um Gestor de Projetos (GP) competente pode ser inestimável. Os GPs desempenharão um papel crucial ao garantir a execução eficaz do plano, mantendo os envolvidos atualizados e gerindo as inevitáveis mudanças no decorrer do processo. Além disso, a coordenação dos GPs inseridos nos fluxos de trabalho garantirá a integração contínua e a fluidez das operações.
3. Estabelecer Medidas Claras e Investir em Segurança Cibernética Proativa
Como a remediação é vital para restaurar as operações empresariais, é importante que os gestores de incidentes forneçam atualizações regulares e comuniquem de forma eficaz. Ao estabelecer medidas claras, é importante incluir ações proativas de segurança cibernética que possam ajudar a evitar incidentes no futuro. Ao investir em soluções e práticas de segurança robustas, como monitorização contínua, testes de penetração e conscientização sobre segurança, as empresas podem reduzir o risco de ataques e minimizar a necessidade de remediação empresarial.
Para comunicar de forma mais eficaz, as atualizações devem utilizar métricas significativas que sejam apresentadas de forma consistente e se relacionem com uma narrativa. Este último ponto é importante pois ajuda a explicar as atualizações no contexto dos marcos a curto e longo prazo para restaurar o negócio. Alguns exemplos de medidas a considerar:
- Estado dos processos empresariais: Classificar os processos por ordem de criticidade, do mais alto ao mais baixo, e incluir datas estimadas de recuperação parcial e completa.
- Atualizações dos componentes de infraestrutura de TI: Listar os componentes individuais que são essenciais para o funcionamento do ambiente, como Active Directory e Microsoft 365.
- Estado dos componentes da infraestrutura: Fornecer detalhes importantes, como os processos empresariais suportados por cada componente (por exemplo, servidores necessários para executar o modelo de negócio) e o estado atual de cada componente (inoperacional, restaurado a partir de backup, etc.).
4. Comunicar em Tempo Real e Coordenar com Especialistas em Cibersegurança
Num cenário de crise, a comunicação em tempo real desempenha um papel crucial na resolução rápida de incidentes. Deve utilizar tecnologias de colaboração que suportem comunicações internas entre todas as equipas envolvidas, incluindo consultores e especialistas em cibersegurança. Esta coordenação permitirá a troca de informações relevantes, conselhos especializados e suporte durante todo o processo de remediação.
5. Uma Equipa, Uma Voz e Prevenção Proativa
Para garantir que a equipa segue uma abordagem consistente, é fundamental estabelecer uma fonte centralizada de informações confiável. Isso irá ajudar a evitar erros e priorizar eficientemente os esforços de recuperação. Além disso, ao adotar medidas proativas de segurança cibernética, as empresas podem reduzir a probabilidade de disrupções significativas nos sistemas de IT, evitando assim a necessidade de uma remediação empresarial prolongada. Os benefícios desta abordagem incluem:
- Redução de Erros: Por exemplo, sem uma fonte centralizada de informações sobre o estado do sistema, dois engenheiros poderiam inadvertidamente atribuir o mesmo endereço de rede a servidores diferentes. Embora possa parecer um erro trivial, a resolução desse problema requererá tempo que poderia ser melhor empregue na recuperação.
- Defesa Proativa com Consultores Especializados: Ao envolver consultores e especialistas em cibersegurança, as empresas podem beneficiar de uma defesa proativa. Esses profissionais oferecem conhecimentos especializados e atualizados sobre ameaças e vulnerabilidades, permitindo a identificação e implementação de medidas preventivas antes mesmo de ocorrerem incidentes. Isso reduz a probabilidade de violações de segurança e ajuda a proteger a organização contra disrupções significativas nos sistemas de TI.
- A Priorização Impulsiona a Eficiência: Guiado por uma lista de servidores priorizados, o gestor de incidentes pode alocar recursos para recuperar os sistemas que eliminarão rapidamente as interrupções de negócio mais significativas, garantindo que os recursos sejam utilizados de forma otimizada. Sem um guia, é provável que o tempo e o esforço sejam direcionados para itens de menor impacto (do ponto de vista empresarial) que aumentam o tempo de inatividade e danificam ainda mais o negócio.
- Comunicação Efetiva com a Liderança: Sem um mecanismo de rastreamento fundamental para conectar o estado dos sistemas atuais a aplicações e processos empresariais específicos, a equipa terá dificuldade em responder a uma das questões mais urgentes da liderança – “Quando estaremos completamente recuperados?” Ao fornecer esses detalhes, o gestor de incidentes estará preparado para oferecer respostas precisas e atualizadas, atendendo às necessidades e expectativas da liderança.
Em suma, embora seja essencial estar preparado para a remediação empresarial, é igualmente importante adotar uma abordagem proativa para evitar incidentes. Ao constituir uma equipa de gestão de incidentes, contratar especialistas em cibersegurança e implementar medidas claras e preventivas, as empresas podem fortalecer a sua resiliência cibernética e reduzir o impacto de possíveis incidentes. Ter um plano de resposta a incidentes estabelecido e um conjunto de guidelines a seguir também ajudará a garantir uma resolução mais rápida caso ocorra um incidente significativo nos sistemas de TI da organização
Para mais informações contacte-nos.
MORADA
Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal
TELEFONE
+351 932 942 000 (custo de chamada para rede móvel nacional)
+351 223 744 827(custo de chamada para rede fixa nacional)
