Alguns criminosos podem esta postando agora mesmo conteúdo impróprio ou ilegal no site da sua empresa ou até em suas redes sociais. Acessando e manipulando dados confidenciais de seus clientes, fornecedores, funcionários. Seus dados podem estar sendo mantidos como reféns por hackers utilizando ransomware sutilmente. Essa situação já faz parte do cotidiano de muitos empresários brasileiros e ser hackeado é com certeza um pesadelo para qualquer pessoa ou organização.
Embora não haja nada que você possa fazer para garantir que uma violação nunca aconteça, há muitas coisas que você pode fazer para minimizar a probabilidade de uma violação ocorrer e, se acontecer, muito você pode fazer para conter e mitigar os danos e interrupções associados ao incidente.
Contate um especialista
Um bom provedor de serviços de segurança gerenciados (MSSP) o ajudará a responder rapidamente a uma violação assim que você os informarem que ocorreu um incidente de segurança cibernética. Um ótimo especialista terá monitorado seus sistemas de perto e já saberá que ocorreu uma violação, possivelmente antes mesmo de você.
Se, por algum motivo, sua TI ou especialista ainda não souber da violação, a primeira coisa que você deve fazer é contatá-lo para obter orientação. O especialista avaliará a situação e oferecerá aconselhamento especializado e dará o suporte necessário para ajudá-lo a reparar a violação, minimizar danos, alertar usuários e autoridades relevantes e avaliar a situação posteriormente para que você possa fortalecer suas defesas de segurança cibernética.
Descubra como o incidente ocorreu
Antes de responder com eficácia ao incidente, você precisa saber exatamente o que aconteceu.
- O software não foi atualizado?
- Um funcionário ou você clicou em um link suspeito?
- Você pode até ter recebido um e-mail phishing e clicado nele?
- Um laptop ou smartphone seu e de sua empresa foi extraviado e até roubado?
- A sua organização foi alvo de ransomware ?
Depois de saber exatamente o que aconteceu e quais sistemas e arquivos foram acessados, você pode trabalhar rapidamente para resolver o incidente, avaliar completamente os danos e tomar as próximas etapas necessárias.
Implemente seus protocolos de resposta a incidentes
Se você ainda não tem protocolos de resposta a incidentes em vigor, deve começar a elaborar alguns imediatamente. Cada protocolo é um plano que permite responder com eficácia a uma ameaça ou incidente específico, como planos de segurança para cibersegurança. Assim como um plano de segurança contra incêndio descreve, em detalhes, o que todos no prédio devem fazer em caso de incêndio, um protocolo de resposta a incidentes bem elaborado deve definir quem deve fazer o quê no caso de um incidente de segurança cibernética.
No entanto, ter um protocolo de resposta a incidentes só é útil se todos os envolvidos souberem exatamente qual é sua função e como realizar suas tarefas com eficácia. Para ajudar todos a se familiarizarem com o plano, você deve fazer com que todo o pessoal crítico trabalhe em cenários de mesa regularmente.
Os cenários de mesa são como exercícios de incêndio: eles representam um cenário hipotético e permitem que seus funcionários trabalhem e refinem sua resposta em um ambiente sem riscos. Quando o cenário estiver concluído, sua equipe se reunirá, de preferência com alguém de seu MSSP (especialista), para revisar sua resposta, procurar pontos fracos e fortalecer ainda mais seus protocolos atuais.
Embora programar um cenário agora não ajude com a situação atual principalmente se você já experimentou uma violação ou outro incidente de segurança cibernética, você deve começar a esboçar protocolos robustos de resposta a incidentes e conduzir cenários assim que a situação atual for resolvida.
Se necessário, vá para o modo de bloqueio
Dependendo da natureza do incidente, pode ser necessário entrar no modo de bloqueio. Se um laptop da empresa foi infectado com malware, esse dispositivo precisa ser isolado da rede principal para evitar a propagação do vírus. Se uma área específica da rede foi comprometida, essa seção também deve ser isolada da rede maior para evitar que os cibercriminosos acessem outros sistemas.
Uma maneira de evitar que os cibercriminosos acessem facilmente vários sistemas se eles puderem invadir o seu sistema é seguir o modelo de arquitetura de confiança zero . A confiança zero torna as movimentações laterais dentro do sistema mais difíceis, assumindo automaticamente que cada usuário não está autorizado, mesmo se eles já tiverem verificado sua identidade e limita o acesso a cada área para funcionários que realmente precisam para desempenhar suas funções.
Se o seu firewall e outras defesas de perímetro são os guardas de segurança na recepção, a arquitetura de confiança zero atua mais como os emblemas RFID que seus funcionários usam enquanto se movem pelo prédio. Depois que alguém ultrapassa o guarda de segurança na recepção, ele ainda precisa verificar sua identidade antes de poder acessar áreas restritas ou confidenciais, normalmente passando o cartão-chave para destrancar as portas. Essa camada extra de segurança garante que, mesmo se um cibercriminoso passar por seu firewall e outras defesas de perímetro (passar furtivamente pelo guarda de segurança), seu acesso será limitado a sistemas não críticos onde eles não são capazes de causar tantos danos antes de serem descoberto pela segurança e removido.
Informe seus usuários e as autoridades relevantes
Depois de conter a violação, isolar todos os sistemas ou dispositivos infectados e começar a reparar os danos causados pelo cibercriminoso, você precisa informar seus usuários ou clientes, bem como as autoridades competentes.
Por exemplo, o LGPD (que se aplica a todas as organizações e empresas cujos clientes incluem cidadãos do Brasil) exige que as violações sejam divulgadas em até 72 horas após sua descoberta, e a lei dos EUA exige que as organizações notifiquem os indivíduos afetados se seus dados de identificação pessoal puderem ter sido comprometidos .
Dependendo dos estados em que você conduz negócios, sua organização provavelmente também estará sujeita a outras leis de relatórios. Se você não tiver certeza do que é exigido de você no caso de um incidente de segurança cibernética sob as leis estaduais, seu especialista pode ajudá-lo a revisar as leis estaduais relevantes e garantir que você as cumpra integralmente.
Revise o que aconteceu e melhore seus protocolos de segurança cibernética
Assim que o incidente de segurança cibernética for resolvido, é hora de revisar seus protocolos atuais, identificar quais pontos fracos foram explorados e criar protocolos flexíveis, porém robustos, para fortalecer sua postura de segurança cibernética.
Esta tarefa pode parecer assustadora, mas é aí que entra o seu especialista. Nem todo mundo é especialista em segurança cibernética, e isso é certo. O trabalho do seu especialista não é apenas monitorar seus sistemas e ajudá-lo a responder a violações. Eles também estão disponíveis para fornecer conselhos e sugestões de especialistas e ajudá-lo a evitar ou minimizar o impacto de incidentes de segurança cibernética no futuro.
Pratique o que você aprendeu
Depois que seus protocolos de segurança cibernética atuais forem fortalecidos ou atualizados, é vital que seus funcionários entendam o que mudou, por que essas mudanças foram feitas e como eles devem responder a vários incidentes de segurança cibernética no futuro. Certifique-se de que quaisquer alterações ou atualizações sejam claramente comunicadas a todos os funcionários e contratados externos relevantes, e que todas as partes interessadas tenham a oportunidade de fazer perguntas e buscar esclarecimentos, se necessário.
Depois que todos estiverem informados, você deve entrar em contato com um cenário de mesa e, se for o caso, uma caneta (teste de penetração). Um pen test envolve a contratação de um hacker ético para testar a resistência de seus protocolos de segurança cibernética atuais e tentar acessar dados confidenciais. Uma vez que o teste é feito, o hacker então se senta com sua organização e detalha quais sistemas eles conseguiram acessar e como eles conseguiram passar por suas defesas. Eles também podem fornecer sugestões para fortalecer sua postura de segurança cibernética.
Um incidente de segurança cibernética pode ser o pior pesadelo de qualquer organização e, quando acontece, as consequências podem ser devastadoras. Ter um ótimo especialista pode ajudá-lo a se recuperar de forma rápida e eficaz de um incidente de segurança cibernética e fortalecer suas defesas para evitar futuros incidentes. Com Monitoramento 24/7/365 e tempo de resposta garantido de 10 minutos , o IMID GROUP pode ajudá-lo a criar protocolos de segurança cibernética robustos, mas flexíveis, para que você possa proteger melhor os ativos digitais da sua organização.