O papel do CISO durante uma crise cibernética

O papel do CISO durante uma crise cibernética. O papel de um diretor de segurança da informação (CISO) nunca pode ser categorizado como de baixo estresse.

À medida que as ameaças cibernéticas se tornam mais incessantes e maliciosas, o trabalho de um CISO é cada vez mais difícil, e o desafio de proteger os dados corporativos, de clientes e funcionários, juntamente com a propriedade intelectual, torna-se ainda mais desafiador. A pessoa contratada para este cargo deve entender como reagir durante uma crise cibernética, a fim de ajudar a mitigar quaisquer danos e gerenciar a estratégia de segurança corporativa, juntamente com o suporte ao C-Level.

Um ataque cibernético pode pegar qualquer empresa de surpresa. Dependendo da rapidez e eficiência com que o CISO responde, pode definir o grau de quanto dano é causado à reputação da empresa e e o impacto financeiramente. Quando um CISO é preparado e alinhado com outros profissionais do C-Level, é possível minar alguns dos efeitos negativos do ciberataque.

As etapas a seguir ilustrarão como o CISO precisa reagir durante uma crise cibernética.

Antecipe um ataque antes que aconteça

Os melhores indivíduos para CISO e funções de C-Level correspondentes estão sempre preparados. Antes que qualquer ataque resulte em uma violação ou outra consequência séria, você deve ter uma política de resposta a incidentes eficaz. Ao criar essa política, ela estabelece processos e procedimentos baseados nas melhores práticas que você observou. Ao estabelecer seu protocolo, lembre-se de quem você quer que esteja na equipe de resposta a incidentes de segurança (CSIRT).

Um CISO deve se fazer as seguintes perguntas:

● Quem seria o mais eficaz durante uma crise de segurança cibernética (CSIRT)?
● Quais responsabilidades cada parte envolvida deve ter
● Como você mobiliza e quando mobiliza cada parte envolvida

Além de entender o papel de todos durante uma crise cibernética, é importante também orçar esses incidentes. Como os incidentes de segurança cibernética podem acontecer a qualquer momento, é importante ter funcionários em todo os lugares ou 24 horas por dia.

Contenha a violação e descubra os detalhes

Depois que uma organização descobre que sua rede foi comprometida, é importante que o CISO garanta que os dispositivos que podem ter sido afetados sejam colocados off-line, mas não desligue nada. Isso é para que a comunicação entre os dispositivos possa ser contida, mas ainda guarde sobre como isso aconteceu. Se for possível, faça uma captura de tela de todas as atividades suspeitas para a equipe de segurança analisar.

Um CISO precisa certificar-se de que ele mesmo ou outro funcionário da equipe de segurança aconselhe todos os funcionários da empresa a alterar sua senha, caso o adversário esteja usando credenciais roubadas.

Com o apoio de sua equipe, é responsabilidade do CISO determinar os seguintes detalhes da violação.

● Como a violação aconteceu? Foram as senhas roubadas, uma vulnerabilidade específica? Um dispositivo não autorizado e adulterado?
● Quanto foi impactado? Quais informações foram acessadas? Quais sistemas foram comprometidos? Quais contas podem ter sido usadas?
● Qual é o seu plano para pará-lo e como você evitará esse tipo de ataque no futuro?

Monte sua equipe

Assim que o desastre ocorrer e os detalhes da violação forem descobertos, o próximo passo que um CISO deve tomar é informar a equipe do CSIRT. Depois disso, é importante que o CISO informe outros membros do C-Level, bem como partes apropriadas, como as equipes jurídica, de Relações Públicas e de relacionamento com o cliente. Além disso, deve envolver equipes de RH e de comunicação corporativa para que possam divulgar adequadamente uma violação aos funcionários e clientes. Considere se haverá ou não alguma investigação sobre a violação.

A incorporação desses grupos de pessoas garantirá a rápida recuperação de sistemas afetados por um incidente para a comunidade empresarial.

Informe o público

Visto as diversas legislações nacionais e internacionais de privacidade e sigilo de dados, talvez o passo mais importante para mitigar quaisquer danos resultantes da violação seja o modo como uma empresa trata o problema junto ao público. Juntamente com a equipe de Relações Públicas, equipe jurídica e outros membros do C-Level, alinhe-se sobre como fazer o anúncio. As empresas devem informar seus clientes sobre quais informações podem ter vazado, por quanto tempo o problema está acontecendo, como o problema está sendo resolvido e as medidas que os clientes podem tomar para se protegerem sem colocar a empresa em risco.

Avalie para onde ir em seguida

Uma vez que a violação tenha sido contida e o público informado, o CISO deve tomar medidas para garantir que o mesmo ataque não aconteça novamente. CISOs e outros membros do C-Level devem avaliar quaisquer lacunas em treinamento, conscientização, medidas de segurança, capacidades tecnológicas ou algum outro ponto de entrada.

Ao colaborar ativamente com os analistas de segurança, os CISOs podem acalmar os ânimos e nervos, geralmente agitados das equipes, dando segurança para que todos façam o seu melhor e evitem problemas.

Por um tempo considerável após a violação, uma empresa deve ter sua equipe de segurança focada em reduzir o risco de recorrência, testando e corrigindo vulnerabilidades, incorporando criptografia e usando testes de autenticação de dois fatores, e tomando quaisquer outras medidas que sejam necessárias.

Fonte: SC Magazine por Stephen Moore 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Amazon envia emails com informações de reembolsos para pessoas erradas - Minuto da Segurança da Informação
  2. Crowdfense oferece US $ 3 milhões para vulnerabilidades Zero day
  3. GDPR LGPDP e Continuidade dos Negócios
  4. GDPR LGPD e Continuidade dos Negócios
  5. NIST Cybersecurity Framework completa 5 anos. Você já conhece?
  6. Governo Federal unifica documentos sob a identificação do CPF.

Deixe sua opinião!