Skip to main content

Artigo

Guia do CISO para risco cibernético: Respondendo a um incidente cibernético

Guia do CISO da Marsh: criando um plano de resposta a incidentes. Dicas para maximizar o valor de um painel de resposta a incidentes, reduzir erros humanos e estabelecer uma posição sobre ransomware.
Birdseye view of a road through a forest in winter with red car driving with headlights on

Os ataques cibernéticos e os incidentes de segurança são uma ameaça sempre presente para todas as organizações, com uma em cada cinco empresas do Reino Unido identificando recentemente um ataque sofisticado, como negação de serviço, malware ou ransomware. Incorporar um plano de resposta a incidentes nas atividades normais pode permitir que uma organização responda com calma e eficácia durante um ataque cibernético.

No primeiro artigo do nosso guia sobre risco cibernético para diretores de informação e segurança (CISOs), examinamos as medidas que uma organização pode tomar antes e durante um incidente cibernético para mitigar o seu impacto.

O que inclui um bom plano de resposta a incidentes?

A Marsh recomenda que as organizações tenham um plano de resposta a incidentes que defina suas atividades para detectar, analisar e remediar um problema cibernético para restaurar as operações normais o mais rápido possível. Planos robustos de resposta a incidentes incluem uma estratégia de escalonamento, no caso de um ataque se tornar espiral ou prolongado, e uma matriz para orientar o julgamento da gravidade de um evento, a fim de determinar prioridades.

As equipes de incidentes externas e internas devem ser identificadas e as funções e responsabilidades dos indivíduos devem ser claramente compreendidas com antecedência. Incluir modelos de respostas para reguladores, mídia e titulares de dados em um plano de resposta a incidentes pode economizar muito tempo, caso ocorra um incidente. Os planos de contingência também devem estar prontamente disponíveis e testados.

Certifique-se de que o plano seja mantido atualizado e acessível aos membros da equipe de resposta a incidentes, mesmo se os sistemas falharem.

As organizações devem realizar um exercício de mesa pelo menos uma vez por ano, a fim de identificar pontos fracos no plano de resposta a incidentes e inserir no plano quaisquer lições aprendidas.

Ações a serem tomadas no primeiro dia de um incidente cibernético

Um incidente cibernético é definido como um ou mais eventos de segurança da informação que comprometem as operações comerciais e a segurança da informação de uma organização. Isto pode incluir violações de segurança, negação de serviço, violações de dados pessoais, roubo de credenciais, phishing, comprometimento de sistemas e contas e perda de dados.

Uma vez determinado um incidente cibernético, uma organização deve fazer o seguinte:

1. Reúna os fatos e invoque o plano de resposta a incidentes

Na medida do possível, estabeleça o que aconteceu e a natureza do incidente. É importante determinar quais sistemas e dispositivos foram afetados e se algum dado foi afetado.

Siga seu plano de resposta a incidentes e garanta que as equipes não operem em silos. É importante que você trabalhe junto com as principais partes interessadas em toda a organização (incluindo jurídico, gestão de riscos, comunicações, recursos humanos e finanças) quando necessário. 

2. Notifique seguradoras e corretores

Entre em contato imediatamente com seguradoras e corretores, para que possam fazer a triagem e fornecer suporte e orientação. Se o incidente ocorrer fora do horário comercial, as políticas cibernéticas contêm uma linha direta 24 horas por dia, 7 dias por semana, que deve ser contatada, em primeira instância.

3. Procure ajuda externa

Procure especialistas de terceiros, quando necessário. As apólices de seguro cibernético vêm com um painel de consultores, avaliados e aprovados por suas seguradoras. A aprovação prévia é quase sempre exigida das seguradoras para fornecedores que não fazem parte do painel. Se você contratar fornecedores que não estão em seu painel, isso deverá ser comunicado ao seu corretor e seguradora o mais rápido possível. Sua seguradora também deve ser atualizada com declarações de trabalho à medida que são produzidas.

Agir com rapidez e competência nas primeiras 48 horas de um ataque é crucial para conter o incidente e manter uma organização operacional.

Violação de dados pessoais

Estabelecer se o incidente resultou numa violação de dados pessoais e exatamente que dados foram afetados é fundamental para determinar se um regulador precisa de ser notificado. No Reino Unido, uma organização é legalmente obrigada a denunciar violações de dados pessoais no prazo de 72 horas após tomar conhecimento delas ao Information Commissioner's Office (ICO), a menos que possa demonstrar que é improvável que a violação represente um risco para os direitos e liberdades dos indivíduos.

Reúna sua equipe de resposta a incidentes

Depois que essas etapas iniciais forem tomadas, o CISO normalmente trabalhará em conjunto com o painel de resposta a incidentes das seguradoras para resolver um evento. Um painel de resposta a incidentes geralmente inclui:

Especialistas forenses em tecnologia da informação, que trabalham para determinar a natureza e o escopo do ataque e para contê-lo e isolá-lo. Eles também coletam e preservam evidências digitais.

Advogados, para garantir que a resposta de uma organização ao ataque esteja em conformidade com as leis e regulamentos relevantes. 

Estrategistas de comunicação, que ajudam uma organização a decidir sobre as mensagens principais e como transmiti-las aos seus diferentes públicos.

Especialistas em negociação de resgate para fornecer informações sobre ameaças sobre o grupo de atores da ameaça e, quando necessário, para conduzir quaisquer negociações.  

A Marsh recomenda que o CISO se reúna com quaisquer fornecedores com quem queira interagir antes de um evento para compreender como funcionam e, por sua vez, para que o fornecedor compreenda o processo de resposta a incidentes da organização.

Estabeleça uma posição sobre ransomware

Os negociadores de ransomware normalmente farão parte de um painel de resposta a incidências. No entanto, a decisão de pagar ou não o resgate cabe à organização. Recomenda-se que uma organização discuta a sua posição sobre esta questão complexa antes de um evento. Este pode ser um bom tema para envolver o conselho, potencialmente abrindo e informando uma conversa mais geral sobre a gestão de incidentes cibernéticos.

Reduza o risco de erro humano

Cerca de 95% dos problemas cibernéticos podem ser atribuídos a erro humano. As organizações devem integrar a formação em segurança cibernética na sua cultura e definir claramente para os funcionários o que constitui um incidente cibernético e as ações que podem desencadear involuntariamente uma política.

Como a Marsh pode ajudar

  • Gerenciamento de incidentes: a Marsh pode ajudar a formular sua resposta a incidentes cibernéticos e apoiá-lo durante e após um incidente.
  • Sessões de integração: a Marsh pode explicar como funciona sua política cibernética, o painel de fornecedores disponíveis para você e como você pode maximizar sua cobertura.
  • Envolvimento com o conselho: a Marsh pode ajudá-lo a interagir com o conselho por meio de simulações de incidentes cibernéticos ou de exercícios de mesa personalizados.