É importante que um plano de resposta ao incidente seja formulado, apoiado através da empresa e regularmente testado. Um bom plano de resposta ao incidente pode minimizar não somente os efeitos de uma infração na segurança, mais também reduzir a publicidade negativa.
Da perspectiva de uma equipe de segurança, não importa se a infração ocorre (como parte das eventuais transações usando um meio de rede não confiável, como a Internet), mas sim, quando uma infração ocorre. Não pense em um sistema como fraco e vulnerável; é importante perceber que quando há tempo e recursos suficientes alguém violará até mesmo o sistema ou rede mais super-protegido. Não é necessário consultar nada além do site Security Focus em http://www.securityfocus.com para obter informações detalhadas e atualizadas sobre as recentes infrações e vulnerabilidades de segurança, desde a destruição frequente de páginas web corporativas até os ataques aos servidores DNS em 2002[1].
O aspecto positivo de perceber a inevitabilidade de uma infração do sistema é que ela permite à equipe de segurança desenvolver um curso das ações que minimizem qualquer dano potencial. Combinar o curso das ações com habilidades permite à equipe responder a condições adversas de uma maneira formal e responsável.
O plano de resposta ao incidente pode ser dividido em quatro fases:
Ação imediata para interromper ou minimizar o incidente
Investigação do Incidente
Restauração dos recursos afetados
Reportando o indicente aos canais apropriados
Uma resposta a um incidente deve ser decisiva e executada rapidamente. Como há pouco espaço para erros, é essencial que as práticas de emergência sejam ensaiadas e os tempos de resposta medidos. Desta maneira, é possível desenvolver uma metodologia que estimule a velocidade e a acuracidade, minimizando o impacto da indisponibilidade de recursos e os potenciais danos causados pelo comprometimento do sistema.
Um plano de resposta ao incidente tem diversos requisitos, inclusive:
Um time de peritos internos (uma Equipe de Resposta às Emergências de Computador)
Um estratégia aprovada e juridicamente revista
Suporte financeiro da empresa
Suporte executivo da diretoria
Um plano de ação factível e testado
Recursos físicos, como armazenamento redundante, sistemas de standby e serviços de backup
O termo Equipe de Resposta às Emergências de Computador (Computer Emergency Response Team - CERT) refere-se a um grupo de peritos internos preparados para agir rapidamente no caso de uma situação catastrófica com computadores. Encontrar as competências cruciais para uma CERT pode ser um desafio. O conceito de pessoal apropriado vai além das habilidades técnicas e inclui questões de logística, como localização, disponibilidade e desejo de colocar a empresa à frente da vida pessoal quando uma emergência ocorre. Uma emergência nunca é um evento planejado; pode acontecer a qualquer momento e todos os membros da CERT devem aceitar a responsabilidade de responder a uma emergência a qualquer hora.
Os típicos integrantes de uma CERT incluem adminsitradores de sistemas e de rede, assim como peritos em segurança das informações. Os administradores de sistema proverão o conhecimento e habilidades dos recursos do sistema, inclusive backups de dados, backup de hardware disponível para uso e outros. Administradores de rede proverão seu conhecimento de protocolos de rede e a habilidade em redirecionar o tráfego de rede dinamicamente. O pessoal de segurança da informação é útil para rastrear e investigar detalhadamente as questões de segurança assim como para analisar os sistemas comprometidos após a ocorrência.
Nem sempre é possível, mas deve haver redundância no pessoal de uma CERT. Se não for viável ter uma área especializada na empresa, então deve haver treinamento para outras áreas sempre que possível. Lembre-se que se somente uma pessoa tiver as informações cruciais para a segurança e integridade dos dados, então a organização inteira ficará desamparada na ausência desta pessoa.
Alguns aspectos importantes da resposta ao incidente a considerar são as questões legais. Planos de segurança devem ser desenvolvidos juntamente aos membros da área jurídica ou algum tipo de conselho geral. Assim como toda empresa deve ter sua própria política de segurança corporativa, toda empresa tem sua própria maneira de lidar com incidentes sob a perspectiva legal. Questões regulatórias em nível local, estadual e federal vão além do escopo deste documento, mas são mencionadas pois a metodologia de análise post-mortem será ditada, pelo menos em parte (ou em conjunto com), pelo conselho jurídico. O conselho geral pode alertar o pessoal técnico das ramificações legais das infrações de segurança, os perigos de registros pessoais, médicos ou financeiros de um cliente vazarem, e a importância de restaurar os serviços em ambiente críticos como hospitais e bancos.
[1] |