Como lidar com ataques cibernéticos

O aumento no volume de ataques é dramático e cada vez mais eles estão com nível de sofisticação maior. Mesmo com esse cenário crítico, a maioria das empresas ainda não age com a rapidez necessária para identificá-los. 

“As empresas raramente percebem que seus ambientes de TI foram atacados até que seja tarde demais”, comenta Roberta Witty, Vice-Presidente de Pesquisa do Gartner. “No período entre o ataque inicial e sua detecção, os invasores podem prejudicar muitos sistemas e aplicações, trabalhando sistematicamente para elevar seus privilégios no ambiente e afetando, destruindo ou criptografando dados”, continua.

Para garantir contenção efetiva de riscos em toda a companhia, líderes de segurança cibernética e de gestão de continuidade do negócio (do inglês, Business Continuity Management – BCM) devem alinhar processos. Isso exige duas etapas distintas: Planejamento, quando serão identificadas as melhores práticas a serem aplicadas antes da ocorrência de um ataque; e Resposta e Recuperação, quando serão definidas as melhores práticas a serem adotadas durante uma crise.

Até mesmo as organizações que possuem plano para incidentes cibernéticos consideram muitas vezes o problema como um evento metódico, que deve seguir um caminho processual bem definido. Os autores desses planos geralmente partem do princípio de que o invasor terá um modo de ataque e que o incidente será relativamente simples, de fácil resolução, algo similar a uma falha tecnológica corriqueira.

“A realidade é bem diferente. As empresas terão de lidar não apenas com falhas tecnológicas, embora essas possam ser um dos métodos utilizados contra a companhia, mas com indivíduos ou grupos motivados a atacar uma organização e que podem criar uma situação turbulenta, caótica e de longo prazo para o negócio”, afirma Rob McMillan, Diretor de Pesquisa do Gartner.

Ataques cibernéticos devem ser vistos como crises de grande escala nas operações de um negócio e, portanto, precisam ser tratados do ponto de vista da continuidade das operações da empresa. Integrar as melhores práticas de BCM ao processo existente de resposta a incidentes de segurança pode otimizar a capacidade da companhia de controlar os danos de um ataque, acelerar o processo de retomada das operações e, assim, reduzir alguns dos impactos financeiros causados por um ataque cibernético.

Segundo o Gartner, a análise de impactos comerciais (do inglês, Business Impact Analysis – BIA) pode identificar rapidamente se os serviços de TI, locais de operação e parceiros/fornecedores/terceiros afetados são cruciais para a empresa. Já os processos e automatizações de comunicação de crises, configurados para transtornos tradicionais de BCM, podem ser aprimorados para um ataque cibernético.

Os planos de recuperação e retomada dos negócios podem ser utilizados caso os serviços de TI sejam interrompidos pelo ataque enquanto tais sistemas são recuperados para que voltem a operar. Os procedimentos de recuperação de desastres de TI (do inglês, disater recovery – DR) auxiliam a reiniciar os sistemas e a restaurar os dados na sequência correta, e a automação da gestão de crises ajuda a administrar a resposta e recuperação geral da empresa após um ataque cibernético.

O alinhamento entre BCM e a equipe de resposta a incidentes de segurança (do inglês, Computer Security Incident Response Team – CSIRT) garante que haja cooperação para o desenvolvimento proativo da equipe e a representação multiequipe em toda a companhia. Isso também significa que ambos os fatores estão envolvidos em todas as etapas do ciclo de um incidente, como planejamento, orçamento, desenvolvimento de estratégia, práticas, resposta a eventos, gestão de programa e governança.