Última atualização: julho de 2022
Você sabe as coisas certas a se fazer. Você implementou as políticas e treinou todos na organização em todas as melhores práticas. Mesmo com todo esse trabalho duro, é muito provável que haja algum imprevisto. Simplesmente acontece. Quando acontecer, é essencial ter um plano de resposta a incidentes implementado. A resposta a incidentes é uma parte crucial e muitas vezes subestimada do plano de segurança de sua organização, porque pode ser a diferença entre um ataque que destrói a reputação de sua instituição ou um obstáculo desagradável no caminho.
Lembre-se de que você só pode responder a um incidente se souber sobre ele. Ter uma forte cultura de segurança organizacional e incentivar a equipe a relatar problemas é muito importante. É por isso que é melhor recompensar o bom comportamento de segurança do que punir lapsos ou erros de segurança. Também é importante expressar empatia e verificar o bem-estar dos funcionários quando eles relatam um incidente. Você quer que a equipe denuncie imediatamente um link clicado em uma mensagem de phishing, um telefone roubado ou uma conta de mídia social invadida – não que ela hesite por medo de represália ou falta de apoio. Afinal, a resposta a incidentes, assim como as estratégias de mitigação mencionadas em outras seções do manual, é um esforço de toda a organização.
Para que você deve se planejar? Em suma, tudo o que é um pouco provável de acontecer. Isso será diferente para cada organização, mas as perguntas comuns que um plano de resposta a incidentes ajuda a responder incluem:
- O que fazemos se nossas contas ou sites forem invadidos?
- O que fazemos se alguém clicar em um e-mail de phishing ou se um dispositivo estiver agindo de forma suspeita?
- O que fazemos se nossos e-mails ou documentos mais confidenciais forem roubados e vazados?
- O que fazemos se um de nossos funcionários for colocado em perigo físico ou for preso? Ou se eles estão lutando contra o estresse e a ansiedade devido a essas ameaças?
- O que fazemos se nosso escritório for danificado por um incêndio, inundação ou desastre natural?
- O que fazemos se o computador ou telefone de um funcionário for perdido ou roubado?
As respostas a essas e outras perguntas diferem de acordo com a organização, mas é importante pensar nelas em conjunto e articular claramente e compartilhar um plano para que todos em sua organização estejam preparados para agir imediatamente para limitar os danos.
Tomando emprestado do Manual de segurança holística da Tactical Tech, um bom ponto de partida para um plano de resposta a incidentes é definir um incidente ou uma emergência no contexto de sua organização. Decida o que é uma “emergência” – ou seja o ponto em que devemos começar a implementar as ações e medidas de contingência planejadas. Isso é importante, porque às vezes não fica claro – se você imaginar um cenário como perder contato com um colega em uma missão de campo; quanto tempo você esperaria antes de declarar uma emergência? Não se quer pular muito cedo, mas esperar muito tempo pode, em algumas circunstâncias, ser desastroso.
Também é importante pensar em todas as etapas de operações. Atribua a cada pessoa uma função clara da qual ela esteja ciente e com a qual tenha concordado com antecedência – isso reduzirá a desorganização e o pânico no caso de um incidente. No caso de cada ameaça, considere os diferentes papéis que você pode ter que assumir e os aspectos práticos envolvidos na resposta a uma emergência. Dentro dessa importante estratégia para emergências está a ativação de uma rede de apoio – uma ampla rede de aliados, que pode incluir amigos e familiares, comunidade, aliados locais, recursos governamentais e aliados nacionais ou internacionais, como ONGs e jornalistas. Como seus aliados podem apoiá-lo? Você deve contatá-los com antecedência para verificar se estarão dispostos a ajudá-lo em uma emergência e informá-los sobre o que você espera deles?
Ao responder a um incidente, comunicações eficazes tornam-se cada vez mais importantes. Decida qual é o meio mais seguro e eficaz de comunicação com cada ator em diferentes cenários e identifique um meio de backup. Esteja ciente de que, para emergências, pode ser útil ter diretrizes claras sobre o que (e o que não) comunicar, quando comunicar, quais canais usar e com quem você deve se comunicar. Considere também o impacto reputacional de um incidente em sua organização e esteja preparado para responder adequadamente. Certifique-se de que o líder da comunicação da organização (em algumas organizações pode ser apenas quem gerencia a página do Facebook ou a conta do Twitter) está ciente do incidente e pode observar as mídias sociais ou outras mídias quanto ao impacto potencial. Eles também devem estar preparados para responder a possíveis perguntas do público ou da mídia sobre um incidente, se relevante. Isso é especialmente importante para se antecipar a possíveis histórias negativas ou danos à reputação. Embora cada incidente e contexto sejam diferentes, comunicações honestas e transparentes geralmente ajudam a criar confiança após um incidente.
Criar um sistema de alerta e resposta antecipado
Considere estabelecer um sistema de alerta e resposta antecipado. Tal sistema parece refinado, mas é essencialmente apenas um documento centralizado (eletrônico ou não) a ser aberto em caso de emergência. No documento, você deve registrar todos os detalhes sobre os indicadores de segurança e incidentes ocorridos em uma linha do tempo, fornecer uma descrição clara das ações e sequência para a resposta planejada e indicar o que precisa ser alcançado para significar que o risco mais uma vez diminuiu. Também deve incluir ações a serem tomadas após um incidente, a fim de proteger os envolvidos de mais danos e ajudá-los a se recuperar física e emocionalmente. Um sistema de alerta e resposta antecipado pode fornecer documentação útil para compartilhamento com a aplicação da lei (se aplicável), análise subsequente do que aconteceu e orientação sobre como melhorar suas táticas de prevenção e respostas a ameaças no futuro.
Além desses conceitos importantes de resposta a incidentes, sua organização também deve se preparar para qualquer resposta técnica específica. Em alguns casos, uma resposta técnica pode ser gerenciada pela equipe interna de TI ou pelos administradores do sistema. Por exemplo, se uma conta de e-mail parece ter sido invadida, o administrador da sua conta deve estar preparado e capaz de encerrar ou desabilitar a conta afetada. Alguns incidentes técnicos, no entanto, podem exigir conhecimentos que você não possui em sua organização. Para situações como essas, é importante identificar uma lista confiável de especialistas técnicos externos que possam ajudá-lo na resposta a incidentes. Em alguns casos, você pode querer pré-negociar os termos com os provedores de serviços (como o host do seu site ou um consultor de TI) para garantir que eles estejam disponíveis (e não cobrariam mais) para tal resposta a incidentes técnicos.
Por último, mas certamente não menos importante, você deve considerar as etapas legais. É importante entender as proteções legais que você pode ter, bem como as obrigações ou consequências legais que sua organização pode enfrentar como resultado de uma violação de dados ou outro incidente de segurança. Um primeiro passo pode ser identificar um aconselhamento jurídico de confiança que entenda as leis e regulamentos específicos do seu país ou localidade. Reserve um tempo para analisar possíveis incidentes com um aconselhamento jurídico relevante, se necessário, e faça um plano para o que você faria em resposta. É uma boa ideia fazer um acordo com este advogado de confiança para representar você e seus interesses, se necessário, após um incidente. Como parte desta preparação legal, certifique-se de que compreende as obrigações legais de quaisquer fornecedores ou parceiros. Eles são obrigados a notificá-lo no caso de sua própria violação de dados? Que apoio (se houver) eles devem fornecer a você no caso de um incidente? Ao desenvolver contratos e acordos com fornecedores externos, tenha em mente a possibilidade de violação de dados ou outro incidente.
Embora não exista uma abordagem única para a resposta a incidentes, é essencial ter planos operacionais, de comunicação, técnicos e jurídicos claros. À medida que você prepara seu plano de resposta a incidentes, recomendamos fortemente que faça uso dos excelentes recursos existentes, projetados para ajudar organizações da sociedade civil a agirem diante de uma resposta a incidentes. Esses recursos incluem o Kit de primeiros socorros digitais desenvolvido pela RaReNet e CiviCERT, o Manual de campo sobre assédio online da PEN America, o Manual da campanha de segurança cibernética do Belfer Center, além do Modelo do plano de comunicação de incidentes cibernéticos, e da Linha direta de segurança digital da Access Now.
- Desenvolva um plano organizacional de resposta a incidentes e coloque-o em prática.
- Faça um brainstorming de possíveis incidentes e prepare-se para sua resposta antes que aconteça.
- Certifique-se de que todos na organização estejam cientes de como você se comunicará e quais medidas técnicas serão tomadas no caso de um incidente.
- Reserve um tempo para entender suas proteções e obrigações legais.
- Esteja preparado para fornecer à equipe organizacional o apoio emocional e social de que precisam após um incidente.