Resposta a incidentes

Gestão do plano de resposta a incidentes

Resposta a incidentes não é diferente de qualquer outro aspecto da segurança da informação. Requer planeamento cuidadoso, supervisão contínua e métricas claras para que os esforços possam ser devidamente medidos. As iniciativas de gestão em curso incluem a definição e supervisão de objectivos de resposta a incidentes, testes periódicos do PIA para assegurar a sua eficácia e formação de todas as partes necessárias sobre procedimentos de resposta a incidentes aplicáveis. As métricas específicas utilizadas para medir a eficácia das iniciativas de resposta a incidentes podem incluir:

• Número de incidentes detectados.
• Número de incidentes não detectados.
• Número de incidentes que requerem acção.
• Número de incidentes repetidos.
• O prazo de remediação.
• Número de incidentes que levaram a violações.

Adicionalmente, os objectivos de resposta a incidentes podem incluir áreas envolvendo:

• Revisões e actualizações do plano de resposta a incidentes de rotina.
• O planeamento e execução de cenários de teste de resposta a incidentes.
• As questões de integração com iniciativas de segurança relacionadas, tais como sensibilização para a segurança, sistemas de detecção técnica, formação de funcionários e testes de vulnerabilidade e penetração.
• A comunicação de eventos de segurança à liderança executiva ou a partes externas.
• A aquisição de tecnologias adicionais que podem fornecer maior visibilidade e controlo da rede.

Planos de resposta a incidentes versus planos de continuidade de negócios

Com os objectivos de manter operações normais e minimizar o impacto de eventos imprevistos, a resposta a incidentes poderia ser considerada parte do processo de continuidade de negócios. Dado o que está em jogo e as diferentes variáveis envolvidas, tais como pessoas, tecnologias e processos empresariais, a resposta a incidentes deve ter os mais altos níveis de visibilidade dentro da organização. Um PIA é dedicado a incidentes e violações com impacto nas redes e computadores, aplicações e bases de dados e bens de informação relacionados. Por conseguinte, a maioria das organizações é melhor servida mantendo o plano de resposta a incidentes num documento autónomo – separado do, mas referenciado no plano de continuidade de negócios. O mais importante é assegurar que o plano de resposta ao incidente seja facilmente acessível por todos os membros da equipa quando for necessário.

Ferramentas para resposta a incidentes

Existem numerosas ferramentas e metodologias que podem ser utilizadas para ajudar na resposta a incidentes e são tipicamente categorizadas por prevenção, funcionalidades de detecção ou resposta. Certas organizações seguem o laço de OODA de origem militar para a resposta a incidentes. O laço OODA é uma metodologia que encoraja uma empresa a observar, orientar, decidir e agir quando ocorre um incidente, com a qual todas as ferramentas IR podem ajudar.

Por exemplo, uma organização pode ganhar a visibilidade necessária para um incidente com análise de pacotes, monitorização de recursos do sistema e tecnologias de exame de integridade de ficheiros. Pode-se ganhar percepção das ameaças utilizando indicadores de ameaças em tempo real e serviços de inteligência de ameaças. Ainda mais, existem ferramentas que podem fornecer detalhes forenses, tais como localização da fonte, informação técnica de incidentes e repetições de eventos. Há também ferramentas que permitem a uma organização agir contra uma ameaça, impedindo a sua propagação ou minimizando o impacto que tem no ambiente informático.

Embora a resposta a incidentes seja um processo, a tecnologia pode ser usada para automatizar e racionalizar funções específicas de resposta a incidentes para ajudar a minimizar tempos de detecção e erros do sistema. Os prestadores de serviços centrados no desenvolvimento de tecnologia de resposta a incidentes oferecem tipicamente produtos nas seguintes categorias:

• sensibilização e formação dos funcionários;
• gestão da segurança do ponto final;
• firewall, prevenção de intrusão e mitigação de DoS;

análise forense;

• análise de fluxo e tráfego da rede;
• gestão de incidentes e eventos de segurança (SIEM); e
• gestão de vulnerabilidades.

Ferramentas de resposta a incidentes fornecem às organizações tanto visibilidade como controlo. Também fornecem aos profissionais a informação necessária que precisam de saber para lidar com o comportamento anómalo. Finalmente, as ferramentas de resposta a incidentes ajudam nos esforços de resposta directa — permitindo às organizações minimizar os riscos envolvidos.

A maioria dos produtos tecnológicos no sector de resposta a incidentes são comerciais e requerem um orçamento adequado para despesas de capital e operacionais. Alternativamente, há numerosas ofertas de software de código aberto que poderiam ser adaptadas para satisfazer os requisitos de uma organização específica. Ao escolher a abordagem de fonte aberta, é importante pesar quanto esforço estará envolvido, quão eficientemente será capaz de ser dimensionado e quão eficaz será a longo prazo.

São postas em prática ferramentas de resposta a incidentes, é importante assegurar que existe pessoal e perícia suficientes para o manter actualizado e mantido. Ter os recursos necessários é fundamental para a concepção e implementação inicial da tecnologia, bem como para a administração e resolução de problemas em curso.

Finalmente, os executivos devem lembrar-se de que as ferramentas de resposta a incidentes não podem abranger todo o programa de resposta a incidentes. Embora as ferramentas e a automatização possam desempenhar um papel importante, devem ainda assim ser apenas uma componente dos requisitos globais de resposta a incidentes.