Como identificar e relatar incidentes de segurança
Na sociedade atual fortemente conectada e orientada para a Internet, é cada vez mais comum que as empresas invistam no gerenciamento de incidentes de segurança. Quando prevenir um problema se torna inviável, a próxima melhor coisa é tomar as ações corretas imediatamente.
Veja como reconhecer incidentes de segurança para minimizar seus impactos.
O que é um incidente de segurança?
Embora os especialistas em cibersegurança às vezes tenham definições ligeiramente diferentes para incidentes de cibersegurança, eles geralmente os classificam em dois tipos principais. Mas, de modo geral, um incidente de segurança é qualquer tentativa ou violação bem-sucedida das políticas de segurança cibernética e mecanismos de proteção de uma empresa que traz consequências negativas. Exemplos incluem:
- Evidência de uso não autorizado de aplicativos ou acesso a dados.
- Ataques de phishing.
- Relatórios de engenharia social.
- Contas de usuário comprometidas.
- Alertas sobre o uso não autorizado da rede.
Quais são os dois tipos de incidentes de segurança?
Os riscos de segurança nem sempre resultam em problemas. Por exemplo, um funcionário pode deixar um laptop da empresa no banco de trás de um táxi e receber uma notificação sobre a propriedade deixada cinco minutos depois. Uma análise também pode confirmar a probabilidade de o erro ter levado a dados comprometidos ou adulteração de computador dentro dessa janela breve, especialmente se estiver protegido por senha.
Nesses casos, um evento de segurança é uma ocorrência observada que pode comprometer dados, uma rede ou uma empresa. A criação de um plano de resposta a incidentes de segurança robusto reduz as chances de eventos de segurança se tornarem incidentes. O treinamento de funcionários também pode ajudar.
Um cibercriminoso pode enviar e-mails de phishing para cada membro da equipe em uma empresa de 100 pessoas, resultando em 100 eventos de segurança. No entanto, se nenhum funcionário cair no truque, nenhuma das ocorrências se tornará incidentes de segurança com consequências associadas.
Os incidentes de privacidade são diferentes dos incidentes de segurança?
As pessoas também devem saber sobre incidentes de privacidade. Freqüentemente, eles são discutidos separadamente dos incidentes de segurança, mas, mesmo assim, estão relacionados.
Um incidente de privacidade ocorre devido à divulgação de dados regulamentados. Por exemplo, uma violação de dados que comprometa as informações de identificação pessoal (PII) dos clientes se enquadra nesta categoria.
Todos os incidentes de privacidade também são incidentes de segurança. No entanto, os incidentes de segurança podem não afetar os dados regulamentados.
Violações de dados são outra categoria relevante. Eles são instâncias confirmadas de acesso não autorizado a informações que muitas vezes se tornam incidentes de privacidade.
Como as pessoas podem detectar possíveis incidentes de segurança?
Os sinais de alerta de incidentes de segurança vêm em vários tipos. Por exemplo, durante um ataque a uma estação de tratamento de água , um supervisor viu um cursor do mouse movendo-se sozinho e percebeu que alguém elevava remotamente os níveis de soda cáustica. No entanto, os ataques cibernéticos em andamento nem sempre são tão imediatamente óbvios. Alguém pode notar níveis de tráfego de rede ligeiramente mais altos, mas não acha que justifique uma investigação mais aprofundada.
Dados ausentes são outro sinal de alerta de um possível ataque cibernético. No entanto, nem sempre é um sinal de problema. Se alguém simplesmente não consegue encontrar um arquivo, talvez se tenha esquecido de salvá-lo ou colocado-o acidentalmente no local errado.
O problema é mais grave se as pessoas relatam a perda de todos os seus arquivos.
Da mesma forma, os ataques de ransomware acontecem quando os hackers bloqueiam todos os arquivos em uma rede e exigem pagamento para restaurá-los. Nesses casos, as pessoas veem mensagens que confirmam explicitamente o ataque e instruem como enviar o dinheiro. No entanto, eles podem ver outras comunicações primeiro.
Quando um ataque de ransomware paralisou o serviço de saúde irlandês , começou quando um funcionário clicou em um link para obter ajuda depois que um computador parou de funcionar.
Também é problemático se várias pessoas relatam a repentina incapacidade de acessar suas contas. Como alternativa, eles podem receber e-mails informando sobre alterações de endereço de e-mail ou senha, apesar de não editarem os detalhes da conta.
Qual é a coisa mais importante a fazer se você suspeitar de um incidente de segurança?
Quando as pessoas suspeitam de um incidente de segurança, elas podem se sentir imediatamente sobrecarregadas e não saber o que fazer primeiro.
A resposta inicial mais apropriada a incidentes de segurança em todos os casos é relatar a situação à parte correta. Em seguida, os indivíduos responsáveis podem agir rapidamente para limitar as perdas de dados e o possível tempo de inatividade. Eles também obterão os detalhes de um relatório de incidente de segurança de qualquer pessoa que saiba sobre o que aconteceu.
Os líderes da empresa devem facilitar ao máximo o compartilhamento de detalhes de suspeitas de incidentes. Uma possibilidade é incluir um link para um formulário de incidente no rodapé de cada e-mail. Outra opção é postar números de telefone para relatórios de incidentes de segurança em áreas proeminentes, como salas de descanso, banheiros e elevadores.
Depois que uma equipe de segurança confirma um incidente de segurança, eles podem precisar notificar terceiros, como policiais ou reguladores nacionais. Por exemplo, as empresas que operam ou atendem clientes na UE têm 72 horas para informar os reguladores de dados depois de tomar conhecimento das violações.
Por que o gerenciamento de incidentes de segurança é eficaz
Não há uma maneira única e garantida de impedir todos os incidentes de segurança. É por isso que a maioria das abordagens se concentra na resposta e no gerenciamento de incidentes de segurança.
Criar um plano de resposta a incidentes é um excelente primeiro passo para ter todas as bases cobertas.
Ter um aumenta as chances de uma empresa se recuperar rapidamente após a ocorrência de um problema. Também limita a probabilidade de um incidente acontecer novamente. Existem várias estruturas conceituadas para as empresas seguirem.
Eles incluem ações para se preparar para um futuro incidente, identificá-lo e analisá-lo, conter e remover a ameaça e prevenir problemas futuros.
Esses incidentes formais aplicam-se principalmente a pessoas que trabalham em organizações com prevenção de incidentes de segurança cibernética em vigor. Isso porque o gerenciamento de incidentes de segurança só funciona bem quando cada pessoa tem uma função de mitigação de incidentes bem definida e sabe como executá-la.
O gerenciamento de incidentes de segurança é responsabilidade de todos
Uma pessoa ainda pode desempenhar um papel crucial na resposta a um incidente de segurança ao trabalhar em uma função não relacionada à segurança cibernética. Suas responsabilidades podem se estender apenas a relatar um problema a um supervisor e desligar o computador; no entanto, essas ações aparentemente pequenas podem limitar a gravidade de um incidente de segurança cibernética.
Além disso, todos devem realizar ações pessoais para limitar o acesso de um hacker. Definir senhas exclusivas e complicadas pode ajudar, junto com o uso de autenticação multifator quando possível.
Os incidentes de segurança provavelmente se tornarão ainda mais proeminentes à medida que o mundo se tornar cada vez mais dependente do digital. No entanto, as informações abordadas aqui podem ajudar as pessoas a se tornarem mais proativas para impedi-los.