Fases de Resposta a Incidentes
Quando se fala de resposta a incidentes, o processo padrão que é seguido no tratamento de um incidente é descrito pelas seguintes etapas:
- Preparação
- a Identificação
- Contenção
- Erradicação
- Recuperação
Preparação não é só a primeira fase, mas o mais importante fase. A preparação determina a eficácia das suas capacidades de resposta a incidentes. Na prática, a essência da preparação é tecida ao longo de todo o processo. A preparação é também a fase em que as funções críticas implícitas de um tratamento eficaz de incidentes são explicitamente indicadas. A preparação adequada irá ditar a maturidade da sua equipa de resposta a incidentes e o impacto do negócio pode ser quantificadamente medido. os pontos focais de preparação são::para que um plano de resposta a incidentes seja eficaz, o primeiro passo é obter apoio do topo da organização. Este apoio irá garantir que a organização como um todo irá apoiar o plano de resposta a incidentes e fornecer o tempo e recursos necessários para maximizar a sua capacidade de ser bem sucedido. O apoio executivo manifesta-se inicialmente na forma de uma política que é assinada pela liderança da organização. Uma boa política protege a missão da equipe de resposta a incidentes, dando-lhe a autoridade necessária para cumpri-la. A Política fornece um conjunto escrito de princípios, regras ou práticas que ditam como a organização irá responder a um incidente.
definir a política pode ser um processo assustador, devido a haver muitos domínios de segurança da informação que podem ser impactados por um incidente. Uso aceitável, terminação de funcionários, arquivo de dados, controle de acesso e gerenciamento de senha são apenas uma pequena amostra de como os tentáculos de resposta a incidentes podem se espalhar. A política pode impactar vários departamentos que podem ter necessidades concorrentes devido a seus próprios mandatos individuais. A criação de uma política global que satisfaça os requisitos legais, regulamentares e operacionais pode levar a um investimento significativo em tempo e recursos. Mas, é um passo necessário para entender como toda a organização funciona para ajudar a facilitar a implementação de uma equipe de resposta eficaz a incidentes.
responsabilidades
o processo de criação de uma política começa a chamar em foco os diferentes papéis que serão necessários para apoiar o processo de resposta a incidentes. Papéis de incidentes tradicionais, como um gerente de segurança ou analista tendem a ser claros. O suporte funcional de outros departamentos é integral para o sucesso da capacidade da equipe para remediar incidentes. Estes departamentos navegam as ramificações do incidente em torno de questões legais, de conformidade e de Relações Públicas.
Os papéis identificados devem ter sua responsabilidade explicitamente definida para o processo de resposta ao incidente. Os papéis terão diferentes responsabilidades dependendo da fase do processo de resposta ao incidente que a organização está atualmente executando.
comunicação
a análise conduzida ao longo do desenvolvimento de políticas ajuda a facilitar a definição dos canais e processos de comunicação que devem ocorrer durante um incidente. Um dos erros comuns durante o desenvolvimento de um plano de resposta a incidentes é negligenciar a identificação de um stakeholder fundamental no tratamento de um incidente.as leis e regulamentos podem ditar as entidades externas com as quais a sua organização deve se comunicar em caso de incidente. O plano de comunicação deve identificar essas entidades e definir os procedimentos de notificação. Deve ser dada especial atenção aos fornecedores, clientes e prestadores de serviços ao desenvolver um plano.o plano de comunicação também deve definir orientações claras para quando envolver a aplicação da lei e quem irá coordenar entre a organização e as agências. A principal razão pela qual um incidente de segurança não leva a acusações criminais é que a organização não lidou com o incidente e comunicação com a aplicação da lei corretamente. A(S) pessoa (s) designada (s) Como contacto principal deve (M) comunicar com a aplicação da lei de uma forma clara e coerente que corresponda aos procedimentos definidos pela organização e pela aplicação da lei.
Ferramentas
Um componente chave do processo de criação de políticas é definir as capacidades da equipa de resposta a incidentes. Definir claramente as responsabilidades de sua equipe de resposta a incidentes é essencial para configurar a organização para o sucesso. Alguns serviços podem ser tratados internamente, enquanto outros podem ser terceirizados. As ferramentas que são implementadas são projetadas para estar em linha com as capacidades definidas.cada fase do plano de resposta a incidentes terá ferramentas associadas a ele. A fase de detecção e análise terá ferramentas para agilizar relatórios de incidentes, capturar tráfego de rede e realizar análises comportamentais. A fase de contenção e recuperação de incidentes terá ferramentas para limitar o acesso à rede/sistema e facilitar a restauração dos serviços dentro dos períodos de recuperação definidos. Ferramentas pós-incidente podem ser usadas para atualizar a inteligência de ameaça da organização e a base de conhecimento.formação
formação
Uma vez definidas as ferramentas e os procedimentos, todo o pessoal que estiver envolvido no processo de resposta a incidentes terá de receber formação regular. O treinamento pode tomar forma em muitas formas diferentes. A chave é tornar a formação relevante e englobar diferentes cenários. Exercícios de Tabletop que envolvem todos os departamentos relevantes é uma das formas mais eficazes para afinar o processo de resposta a incidentes. Um exercício tabletop é um exercício Simulado onde os participantes se reúnem para discutir processos de incidente. Ela fornece flexibilidade que é difícil de obter com exercícios ao vivo e é inclusivo para todos os papéis dentro da organização. Os exercícios de Tabletop permitem à organização identificar lacunas que possam existir. Eles também permitem que uma organização aplique as lições aprendidas em um ambiente controlado.
A prática Regular permite que a sua empresa a executar com a máxima eficiência durante um incidente ao vivo.
Uma citação popular de Sun Tzu é ” Conheça a si mesmo e você vai ganhar todas as batalhas.”Conhecer a si mesmo vem com extremo cuidado sendo tomado durante a fase de preparação e conduzindo a prática deliberada para descobrir fraquezas. Uma equipe madura e eficaz de resposta a incidentes não é criada através de uma solução tecnológica enlatada ou qualquer outra bala mágica. Eles são construídos com meticulosa atenção na preparação para executar as atividades de detecção, contenção e pós-incidente.
Leave a Reply