Centro de Monitoramento de Segurança: como definir criticidade de invasão

Por André Carraretto | 08 de Outubro de 2015 às 13h36
photo_camera Seu Micro Seguro

Depois de explicar como detectar invasões mais rapidamente com ajuda dos centros de monitoramento de segurança (clique aqui para ler o artigo) é hora de falar sobre políticas e procedimentos que devem ser adotados para conter problemas de invasão.

Antes de mais nada, é preciso entender que 91% dos ataques sofridos pelas empresas começam via phishing — aqueles e-mails e mensagens enganosos, que convidam a abrir um anexo ou clicar em um link malicioso —, cuja porta de entrada é o usuário final. Por isso, temos duas áreas principais no processo preventivo: a educação frequente dos usuários sobre comportamento seguro para uso dos recursos de TI, e o monitoramento do perímetro de rede, que divide o ambiente corporativo do mundo externo. Afinal, quem entrou pela rede vai querer sair e, consequentemente, levando consigo dados relevantes da empresa.

Mesmo que o foco seja a prevenção, o centro de monitoramento de segurança deve estar totalmente preparado para agir rapidamente no caso das barreiras serem quebradas, por meio de um Plano de Resposta à Incidentes. Nessas regras, é essencial detalhar níveis de gravidade e procedimentos, como quem deve ser avisado e o que deve ser feito para conter o ataque.

O cenário e criticidade variam conforme definições da empresa. Contudo, normalmente, seguem um padrão:

  • Baixo: tentativa mal sucedida;
  • Médio: a ameaça entrou no sistema, mas foi removida pelas defesas corporativas (ex: detectado pelo antivírus);
  • Alto: depois de invadir o ambiente, o malware tentou, sem sucesso, compartilhar informações com o mundo externo;
  • Crítico: a ameaça conseguiu escapar da empresa, levando consigo informações sigilosas.

O plano de ação muda conforme cada caso. Por exemplo: em episódios mais graves, como vazamento de dados de cartão de crédito de pessoas físicas, o presidente da empresa, os departamentos jurídico e de comunicação devem ser alertados imediatamente à detecção da ocorrência, para lidarem com uma eventual gestão de crise. No caso de um malware que invadiu a rede, mas não conseguiu sair, o alerta pode, ou não, ser feito à direção, dependendo do seu envolvimento com a área de segurança da informação. Ações mais corriqueiras, por outro lado, não precisam sair do centro de monitoramento de segurança, já que não têm impacto na operação ou gerenciamento da companhia.

O que não se pode tirar da mente é que os passos reativos já devem ser desenhados e testados, em todos os seus detalhes, quando os níveis de criticidade forem determinados. Em planos de contingência, qualquer minuto vale muito.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.