Como criar um plano de resposta para incidentes cibernéticos?
A sobrevivência de pacientes e do próprio negócio de Saúde depende não só da proteção ao ambiente digital como, também, da forma como a organização resolve possíveis ataques com assertividade e rapidez
Ataques virtuais chegam sem aviso, é claro. E investir em segurança cibernética e na capacitação de funcionários para se prevenirem contra tentativas de golpes são atitudes que qualquer empresa, de todos os setores e portes, deveria ter como prioridade. Mas tão importante quanto atuar de maneira preventiva é ter, também, um plano de resposta para incidentes cibernéticos. Afinal de contas, por mais que se tome todas as precauções necessárias, ninguém está totalmente imune às invasões cada vez mais sofisticadas ou mesmo às falhas humanas, que são o fator mais sensível dentro da segurança digital. Em organizações de Saúde, em que resultados de exames, dados sensíveis e até a funcionalidade de equipamentos podem ser seriamente comprometidos, ser capaz de reverter uma situação emergencial de ataque cibernético rapidamente é um fator determinante para a sobrevivência de pacientes.
Segundo o professor Rafael da Silva Santos, coordenador acadêmico do curso de Defesa Cibernética do Centro Universitário FIAP, em São Paulo, a existência de um plano de resposta bem estruturado é fundamental para não haver violação de algum dos pilares da Segurança da Informação, tais como: confidencialidade, integridade e disponibilidade.
“Este tipo de incidente pode levar a empresa de Saúde ou hospital a ter perdas financeiras, danos à reputação e sanções administrativas, além de colocar a vida dos pacientes em risco. Neste momento, entra em ação o plano de respostas a incidentes, que é um documento fundamental e estratégico, desenvolvido para auxiliar profissionais e equipes de TI / Cybersecurity no reconhecimento, mitigação, contenção e recuperação de ataques cibernéticos e violações de dados”, conta o especialista.
A elaboração deste plano é feita, em geral, pelo time de CSIRT (Computer Security Incident Response Team, termo em inglês para Equipe de Resposta a Incidentes de Segurança), que tem como principal responsabilidade coordenar e apoiar a resposta a um evento ou incidente de segurança.
Atenção extra aos detalhes
Existem algumas ações que são imprescindíveis ao elaborar um plano de resposta robusto, de acordo com Rafael da Silva Santos. São elas:
1 - Mapeamento de ameaças e vulnerabilidades: é desenvolvido com base nos ativos que a empresa possui, identificando cada um deles e qual o nível de criticidade que eles podem ter, o que irá definir o risco de segurança.
2 - Mitigando os riscos e danos: momento crítico para a empresa, que precisa ter ciência de que ocorreu um incidente e que medidas precisam ser executadas para evitar a recorrência do mesmo.
3 - Erradicação: além de reconhecer o incidente, é necessário fechar as vulnerabilidades, evitando mais prejuízos e transtornos para a empresa.
4 - Recuperação e aprendizado: é a etapa final do plano de resposta, em que acontece a restauração dos sistemas e dos dispositivos afetados no ambiente da empresa.
Rafael lembra, ainda, que a principal ponte em relação à resolução de qualquer tipo de incidente é o tempo: “Quando algo acontecer, a forma como sua organização responde ao incidente terá impacto direto na reputação, no tempo de recuperação e no resultado de sua empresa. Tendo um bom plano, é possível atender melhor a questões como proteção de dados e preservação da confiabilidade da sua empresa e de sua receita”.
Sempre à mão
Ter de vasculhar arquivos em busca de soluções em uma situação de crise não é o ideal, principalmente porque o fator tempo é determinante para evitar que algo sério aconteça durante uma invasão ao ambiente digital. Portanto, é essencial que o plano de resposta seja fácil de encontrar durante o período crítico e que, também, seja simples de entender por alguém que está sobrecarregado no momento.
A seguir, veja as 7 etapas críticas que devem fazer parte do desenvolvimento do plano de resposta, segundo Rafael:
1 - Adesão dos executivos;
2 - Definição das funções e responsabilidades durante a crise;
3 - Documentação de ativos críticos;
4 - Protocolo de comunicação;
5 - Realização de exercícios de teste;
6 - Divulgação do estatuto do CSIRT para a empresa;
7 - Lições aprendidas.
É um dever, ainda, atualizar este plano de resposta de tempos em tempos. “À medida que os ataques virtuais acontecem com frequência, a segurança cibernética continua sendo um risco central, mesmo para empresas que investiram pesadamente em medidas técnicas para proteger seus sistemas. O plano de resposta deve incluir todos os sistemas que são importantes para a continuidade do negócio. Estes ativos podem mudar ao longo do tempo. Novos sistemas devem ser identificados e priorizados em seu plano. Desta forma, a equipe de resposta sempre terá um registro atualizado e um protocolo exato a ser seguido para todos os sistemas afetados que possam estar comprometidos”, conclui o professor.
“Quando algo acontecer, a forma como sua organização responde ao incidente terá impacto direto na reputação, no tempo de recuperação e no resultado de sua empresa”
Rafael da Silva Santos, coordenador acadêmico do curso de Defesa Cibernética do Centro Universitário FIAP