Planejando sua resposta à violação

Uma violação de dados pode encerrar sua empresa por um período crítico, às vezes para sempre; certamente pode colocar seu futuro financeiro em risco e, em alguns casos, pode até prendê-lo na cadeia. Mas nada disso precisa acontecer porque, se você planejar corretamente, você e sua empresa poderão se recuperar e continuar nos negócios, às vezes em minutos. Em última análise, tudo se resume ao planejamento.

Na semana passada, discutimos como se preparar para uma violação de dados. Supondo que você tenha feito isso antes da violação, seus próximos passos são razoavelmente diretos. Mas uma dessas etapas de preparação foi criar um plano e testá-lo. E, sim, isso exigirá uma quantidade significativa de trabalho.

A diferença é que o planejamento prévio feito antes de qualquer violação visa minimizar os danos. Após a violação, o plano precisa se concentrar no processo de recuperação e lidar com os problemas posteriores, supondo que exista. Lembre-se de que seu objetivo geral, exatamente como era antes da violação, é minimizar o impacto da violação sobre sua empresa, seus funcionários e seus clientes.

Planejando a recuperação

O planejamento de recuperação consiste em duas grandes categorias. O primeiro é consertar os danos causados ​​pela violação e garantir que a ameaça seja realmente eliminada. O segundo é cuidar dos riscos financeiros e legais que acompanham uma violação de dados. No que diz respeito à saúde futura da sua organização, ambas são igualmente importantes.

"A contenção é fundamental em termos de recuperação", disse Sean Blenkhorn, vice-presidente de engenharia de soluções e serviços de consultoria do provedor de resposta e proteção gerenciada eSentire. "Quanto mais rápido podemos detectar a ameaça, melhor podemos contê-la."

Blenkhorn disse que conter uma ameaça pode diferir dependendo do tipo de ameaça envolvida. No caso do ransomware, por exemplo, pode significar usar sua plataforma de proteção de terminal gerenciada para ajudar a isolar o malware junto com qualquer infecção secundária, para que ele não possa se espalhar e depois removê-lo. Também pode significar implementar novas estratégias para que futuras violações sejam bloqueadas, como equipar usuários de roaming e teletrabalho com contas de rede virtual privada (VPN) pessoal.

No entanto, outros tipos de ameaças podem exigir táticas diferentes. Por exemplo, um ataque que busca informações financeiras, propriedade intelectual (IP) ou outros dados da sua empresa não será tratado da mesma maneira que um ataque de ransomware. Nesses casos, talvez seja necessário encontrar e eliminar o caminho da entrada e você precisará encontrar uma maneira de parar o comando e controlar as mensagens. Por sua vez, isso exigirá que você monitore e gerencie o tráfego da rede para essas mensagens, para poder ver onde elas se originam e para onde estão enviando dados.

"Os atacantes têm vantagem em primeiro lugar", disse Blenkhorn. "Você precisa procurar anomalias."

Essas anomalias levarão você ao recurso, geralmente um servidor, que está fornecendo acesso ou que está fornecendo exfiltração. Depois de descobrir isso, você pode remover o malware e restaurar o servidor. No entanto, Blenkhorn avisa que pode ser necessário recriar novamente a imagem do servidor para garantir que algum malware realmente tenha desaparecido.

Etapas de recuperação de violação

Blenkhorn disse que há três coisas adicionais a serem lembradas ao planejar uma recuperação de violação:

1. A brecha é inevitável,
2. A tecnologia sozinha não vai resolver o problema, e
3. Você deve assumir que é uma ameaça que você nunca viu antes.

Mas depois que você eliminou a ameaça, você realizou apenas metade da recuperação. A outra metade está protegendo o próprio negócio. Segundo Ari Vared, diretor sênior de produtos do provedor de seguros cibernéticos CyberPolicy, isso significa preparar seus parceiros de recuperação com antecedência.

"É aqui que ter um plano de recuperação cibernética em funcionamento pode salvar os negócios", disse Vared à PCMag em um email. "Isso significa garantir que sua equipe jurídica, uma equipe forense de dados, sua equipe de relações públicas e seus principais funcionários saibam antecipadamente o que precisa ser feito sempre que houver uma violação".

A primeira etapa para isso significa identificar seus parceiros de recuperação com antecedência, informá-los sobre seu plano e tomar as medidas necessárias para manter seus serviços em caso de violação. Isso parece um grande fardo administrativo, mas Vared listou quatro razões importantes que fazem o processo valer a pena:

1. Se houver necessidade de acordos de não divulgação e confidencialidade, eles poderão ser previamente acordados, juntamente com taxas e outros termos, para que você não perca tempo após um ataque cibernético tentando negociar com um novo fornecedor.
2. Se você possui seguro cibernético, sua agência pode ter parceiros específicos já identificados. Nesse caso, convém usar esses recursos para garantir que os custos sejam cobertos de acordo com a política.
3. Seu provedor de seguros cibernéticos pode ter diretrizes para o valor que está disposto a cobrir para determinados aspectos, e o proprietário de pequenas e médias empresas (SMB) desejará garantir que suas taxas de fornecedor estejam dentro dessas diretrizes.
4. Algumas empresas de seguros cibernéticos terão os parceiros de recuperação necessários internamente, tornando-a uma solução pronta para o proprietário da empresa, pois os relacionamentos já estão em vigor e os serviços serão automaticamente cobertos pela apólice.

Abordando questões legais e forenses

Vared disse que sua equipe jurídica e forense são de alta prioridade após um ataque. A equipe forense dará os primeiros passos na recuperação, conforme descrito por Blenkhorn. Como o nome indica, essa equipe está lá para descobrir o que aconteceu e, mais importante, como. Isso não é para culpar; é identificar a vulnerabilidade que permitiu a violação para que você possa conectá-la. Essa é uma distinção importante a ser feita com os funcionários antes que a equipe forense chegue para evitar rancor ou preocupação indevidos.

Vared observou que a equipe jurídica que responder à violação provavelmente não será a mesma pessoa que lida com as tarefas legais tradicionais da sua empresa. Em vez disso, eles serão um grupo especializado com experiência em lidar com as consequências dos ataques cibernéticos. Essa equipe pode defendê-lo contra ações judiciais decorrentes da violação, negociação com órgãos reguladores ou mesmo negociações com ladrões cibernéticos e seus resgates.

Enquanto isso, sua equipe de relações públicas trabalhará com sua equipe jurídica para lidar com os requisitos de notificação, se comunicará com seus clientes para explicar a violação e sua resposta e, possivelmente, até os mesmos detalhes para a mídia.

Por fim, depois de tomar as medidas necessárias para se recuperar da violação, será necessário reunir essas equipes com os executivos de nível C e ter uma reunião e relatório após a ação. O relatório pós-ação é essencial para preparar sua organização para a próxima violação, determinando o que deu certo, o que deu errado e o que poderia ser feito para melhorar sua resposta na próxima vez.

Testando seu plano

• 6 coisas para não fazer após uma violação de dados 6 coisas para não fazer após uma violação de dados
• Violação de dados comprometeu 4, 5 bilhões de registros no primeiro semestre de 2018 Violação de dados comprometeu 4, 5 bilhões de registros no primeiro semestre de 2018
• Cathay Pacific divulga violação de dados que afetam 9, 4 milhões de passageiros Cathay Pacific divulga violação de dados que afeta 9, 4 milhões de passageiros

Tudo isso pressupõe que seu plano foi bem concebido e executado com competência no caso de uma Coisa Ruim. Infelizmente, isso nunca é uma suposição segura. A única maneira de ter certeza razoável de que seu plano tem alguma chance de sucesso é praticá-lo quando estiver preparado. Os especialistas que você contratou que lidam com ataques cibernéticos como eventos regulares em seus negócios não lhe darão muita resistência à prática de seu plano - eles estão acostumados a isso e provavelmente o esperam. Mas, como eles são de fora, você precisa garantir que eles estejam programados para a prática e provavelmente terá que pagar pelo tempo deles. Isso significa que é importante levar isso em consideração no seu orçamento, não apenas uma vez, mas regularmente.

A regularidade dessa base depende de como seus funcionários internos respondem ao seu primeiro teste. Seu primeiro teste quase certamente falhará em alguns ou possivelmente em todos os aspectos. Isso é de se esperar, já que essa resposta será muito mais complexa e onerosa para muitos do que uma simples simulação de incêndio. O que você precisa fazer é medir a gravidade dessa falha e usá-la como linha de base para decidir com que frequência e em que medida você precisa praticar sua resposta. Lembre-se de que existe uma broca de incêndio para um desastre que a maioria das empresas nunca experimentará. Sua simulação de ataque cibernético é para um desastre que é praticamente inevitável em algum momento.