No Dia da Internet Mais Segura algumas recomendações para que possa proteger a sua empresa de um ataque informático.
As violações da cibersegurança são atualmente uma ameaça, não só para as empresas, mas também para a estabilidade da economia mundial, como o Fórum Económico Mundial tem vindo a destacar na sua conferência anual em Davos desde 2016. De acordo com o Instituto Ponemon, no último ano o custo médio de uma falha de cibersegurança foi de 4,86 milhões de dólares (4,26 milhões de euros).
A preparação pré-incidente e a gestão profissional são os fatores determinantes que podem minimizar o impacto de um ciberataque. Por estas razões, neste Dia da Internet Mais Segura, a Cipher, a divisão de cibersegurança da Prosegur, reuniu uma lista com as recomendações mais úteis para proteger a sua empresa ou organização caso sofra um ataque informático:
- Centralize a coordenação da resposta ao incidente: todas as medidas após um ataque informático devem ser perfeitamente coordenadas a partir de um único ponto e, em particular, não devem ser tomadas medidas unilaterais por diferentes departamentos, pois podem distorcer a informação durante o processo de Threat Hunting. A ação descoordenada pode ser um sinal de fragilidade que acelera ou radicaliza a resposta dos cibercriminosos.
- Identifique e analise: uma vez confirmado que a organização foi atacada, o desafio é identificar, com a maior precisão possível, tanto os vetores de ataque como as provas ou indicações provenientes do incidente. Deve ser efetuada uma análise exaustiva a fim de determinar os IoC (Indicadores de Compromisso) do incidente, bem como o modus operandi do grupo criminoso envolvido, no caso de, através de mecanismos de ciberespionagem, haver informação disponível sobre o mesmo que possa ser útil para a definição dos próximos passos.
- Implemente uma estratégia de contenção dos elementos infetados para travar a propagação de vírus: as estratégias de contenção dependerão do tipo de incidente e dos recursos e capacidades de contenção disponíveis, tendo em conta ainda a eventual necessidade de preservar provas forenses da atividade criminal e a sustentabilidade de uma solução definitiva ou temporária. Alguns exemplos são o corte completo de ligações ao exterior (Total Internet Cut-Off), limitar a conetividade em protocolos de comando e controlo identificados (por exemplo HTTPS) e o estabelecimento de uma situação de “VLAN de contenção”, em que os elementos afetados sejam isolados.
- Erradicação e recuperação: após um computador ter sido contido devido a uma ameaça, o trabalho de erradicação e recuperação deve começar, para que a normalidade diária de toda a empresa possa eventualmente ser reposta. Nesta fase, existem várias possibilidades como a reinstalação do equipamento, a restauração de um backup anterior ao incidente ou a limpeza do equipamento de elementos maliciosos.
- Análise forense e estabelecimento da linha cronológica: a fase mais grave do incidente não é o melhor momento para fazer uma análise completa da linha cronológica, da sua causa e origem. Em geral, recomenda-se que toda a análise forense do incidente seja orientada para a reconstrução de uma linha cronológica do ataque, a fim de localizar vestígios de atividade maliciosa. Deve ter-se em conta que, num incidente deste tipo, podem existir centenas, se não milhares de computadores que tenham sido comprometidos ou onde elementos maliciosos possam persistir e levar à reinfeção.
- Comunicação interna: estando as comunicações dentro da empresa comprometidas, é urgente encontrar um canal de comunicação alternativo que possa servir como ferramenta de comunicação segura para partilhar informações sobre a gestão da crise. Se não existir, podem ser estabelecidas plataformas de comunicação e colaboração alternativas (tais como Teams, ou grupos no Slack, Signal ou Telegram). Recomenda-se centralizar a comunicação interna na figura do coordenador.
- Comunicação externa: todas as comunicações externas devem ser supervisionadas por um gabinete de crise, que deve solicitar informações à coordenação técnica para notificar clientes, parceiros ou proprietários de dados pessoais comprometidos na ótica do Regime Geral da Proteção de Dados e, sobretudo, as forças de segurança pública. Recomenda-se também que os stakeholders potencialmente impactados pelo ataque informático sejam notificados o mais rapidamente possível, para que possam realizar um processo de procura de indicadores dentro das suas infraestruturas e excluir a propagação do mesmo tipo de ameaça nos seus sistemas. Este tipo de comportamento é altamente valorizado pelos parceiros e empresas com quem mantemos uma relação de confiança.
- Reflexão e aprendizagem: após o incidente ser mitigado e a recuperação estar terminada, é boa prática fazer um balanço das aprendizagens durante a crise, a fim de melhorar as medidas de segurança, desenvolver novos processos e implementar novas tecnologias para a deteção, análise e mitigação de futuros incidentes. Na sequência da gestão de incidentes, e como parte do processo de aprendizagem, são também recomendadas reuniões de balanço globais, particularmente se o incidente tiver um impacto elevado, para usar o acontecimento como uma oportunidade para transmitir a todos os funcionários a necessidade de manter comportamentos corretos de cibersegurança, sendo que o fator do erro humano é muitas vezes a fragilidade procurada pelos piratas cibernéticos num ataque.
Não facilite! Proteger a sua empresa de um ataque informático é uma tarefa prioritária.
