BRANDS' ECO Os desafios organizacionais na resposta aos incidentes

  • ECO + EY
  • 21 Novembro 2022

À medida que vão sendo conhecidos mais ataques cibernéticos, as organizações denotam a necessidade de se protegerem e prepararem para dar resposta a um maior número de ameaças e possíveis incidentes.

Inegavelmente a tecnologia é fundamental para a resposta aos incidentes, mas as imposições legais têm tido um papel cada vez mais relevante. Temos como exemplo o Regime Jurídico da Segurança do Ciberespaço 1, que contém as regras para a notificação de incidentes a ser cumpridas pelas entidades no âmbito de aplicação e o RGPD 2, que contém as regras de notificação à autoridade de controlo perante uma violação de dados pessoais.

O incumprimento da legislação aplicável em matéria de notificação de incidentes acaba por trazer às organizações penalizações financeiras e reputacionais. A legislação e a regulamentação são catalisadores para que as organizações se estruturem de forma a serem capazes de cumprir as imposições legais de reporte de incidentes.

O Diogo Landeiro é Senior Associate, EY Portugal, Cybersecurity, Consulting Services

Para que os ataques sejam identificados, analisados e reportados atempadamente são necessários investimentos em matérias de segurança e com isso as empresas têm procurado a implementação de centros de operações de segurança (SOC – Security Operations Center) que têm como propósito a contínua monitorização, deteção, análise e resposta a incidentes de segurança. O SOC é um “hub” de inteligência que funciona 24×7, pois possui capacidade de correlacionar dados em tempo real ou o mais próximo possível, a partir de tecnologias como redes, servidores, terminais, aplicações, informações transacionais, além de dados relevantes que enriquecem e aumentam a precisão da deteção.

Além da adoção do SOC e novas tecnologias, são necessários processos robustos e bem definidos para o tratamento adequado dos alertas. Tipicamente, o ciclo de vida de tratamento de um incidente identificado por o SOC, apresenta as seguintes fases:

  • Deteção e Análise: para a deteção de eventos e incidentes são utilizadas ferramentas que integram dados, detetam desvios comportamentais e automatizam a resposta, de que são exemplos as tecnologias de orquestração, automação e resposta de segurança (SOAR) e análises comportamentais de entidade e utilizadores (UEBA). Nos dias de hoje, é também comum as organizações adotarem uma postura proativa na identificação de ameaças a que estão expostas, pelo que se utilizam tecnologias que reúnem informações sobre novas ameaças (Threat Intelligence).
  • Contenção e Erradicação: na contenção e erradicação dos eventos e incidentes identificados há um elemento fulcral: Os Playbooks ou Runbooks, que têm como principal função endereçar de uma maneira estruturada a resposta a um ataque. Por exemplo, caso seja detetado o comprometimento da conta de um utilizador por phishing, existe um guia para tratar este tipo de situações que inclui a descrição do fluxo de atividades e áreas a ser envolvidas.
  • Atividades pós-incidente: é das etapas mais omitidas, no entanto, de extrema relevância e
    que implica rever e aprimorar as formas de deteção e resposta dada aos incidentes, que pode passar por melhorias nos playbooks, runbooks, nos processos organizacionais instituídos e implementação de novos controlos.

1 Decreto Lei n.º 65/2021, de 30 de Julho
2 Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016

Apesar de a tecnologia já fazer uma grande parte do trabalho na resposta aos incidentes o fator humano assume-se como preponderante: as organizações devem formar e sensibilizar os colaboradores para a correta identificação de incidentes de segurança e como reportá-los, pois nem todos os incidentes vão ser identificados pelo SOC.

Assumindo que não existe risco zero, é verdade que nenhuma organização vai evitar na totalidade incidentes de segurança, mas quando ocorrerem, ter capacidades e processos definidos é um bom princípio para minimizar impactos advindos de incidentes de segurança e garantir o seu reporte atempado às entidades adequadas.

Texto por Diogo Landeiro, Senior Associate, EY Portugal, Cybersecurity, Consulting Services

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Os desafios organizacionais na resposta aos incidentes

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião