Por Hugo Bolé (*)

Os ciberataques estão diariamente presentes nas notícias e, por isso, a questão deixou de ser se as organizações estão mais vulneráveis a um ataque informático ou a uma violação de dados, porque isso já é evidente, independentemente da sua dimensão ou área de negócios. A questão que se coloca é quando é que será o próximo ataque e de que forma é que as organizações se podem preparar para, por um lado, se protegerem e, por outro, como reagir após o ataque.

De facto, nenhuma organização consegue prevenir ou remediar todos os ciberataques, mas pode implementar uma série de medidas que podem mitigar significativamente o respetivo risco. Por exemplo, através da identificação e prevenção da maioria dos ciberataques e incidentes de segurança, bem como, através de uma limitação da abrangência e uma redução do impacto dos restantes ciberataques.

Para começar é necessário que as organizações preparem um plano de resposta em conformidade com uma metodologia testada e comprovada. Uma das metodologias com maior reconhecimento global é a Special Publication (SP) 800-61 Rev. 2 do National Institute of Standards and Technology (NIST), cuja publicação original remonta a 2004, conferindo-lhe uma maturidade de aproximadamente 18 anos. De forma sintética, esta metodologia é um guia de resposta a incidentes de segurança informática composto por quatro fases iniciais: preparação; deteção e análise; contenção, erradicação e recuperação; e, por fim, atividade pós incidente.

Nesta publicação é possível constatar que a resposta a incidentes não é um processo simples e linear que tem início na deteção de um incidente e que termina na erradicação e na recuperação do mesmo. É um processo complexo e cíclico de melhoria contínua da defesa das organizações. Assim, cada uma das fases identificadas anteriormente, exige planeamento e alocação de recursos especializados.

A fase de preparação consiste na alocação e na organização dos recursos necessários para responder aos incidentes de segurança, incluindo políticas, procedimentos, ferramentas, equipa, comunicações, competências e dependências internas e externas.

A fase de detenção e análise inclui a capacidade para agregar, registar, analisar e correlacionar eventos de segurança de diversas fontes em tempo real e de gerar os alertas necessários para investigar os incidentes e priorizar as respetivas respostas.

A fase de contenção, erradicação e recuperação constitui a realização de ações de resposta através da escolha da estratégia adequada, em função do tipo de ataque identificado na fase anterior e dos alvos afetados, sem esquecer a recolha de evidencias para análise forense.

Por fim, a fase de atividade pós-ataque tem como objetivo aprender e melhorar, através da análise das respostas dadas aos incidentes, revendo as atividades realizadas durante todo o processo para prevenir a repetição de eventuais falhas e incorporar melhorias no processo geral de resposta a incidentes através das lições aprendidas.

No entanto, apesar desta publicação fornecer as diretrizes necessárias para que as organizações consigam implementar uma resposta a incidentes de segurança informática com eficácia e eficiência, independentemente das plataformas cloud, hardware, sistemas operativos, protocolos ou aplicações, a globalidade das tarefas é complexa e exigente. Assim, é recomendável que esta implementação seja adaptada à medida de cada organização, por uma equipa de profissionais internos e / ou externos com competências complementares nas áreas de cibersegurança, privacidade, direito, gestão de projetos e administração das redes e sistemas utilizados pela organização.

Em suma, as organizações não planeiam falhar na resposta a incidentes informáticos, mas falham no planeamento dessa mesma resposta e, por isso, é necessário este planeamento prévio que lhes permita reagir de forma eficaz e eficiente a um ciberataque.

(*) Formador na Rumos para a área de Cibersegurança