Proteja a sua empresa de ataques informáticos: Siga estas recomendações

As violações da cibersegurança são atualmente uma ameaça, não só para as empresas, mas também para a estabilidade da economia mundial. De acordo com o Instituto Ponemon, no último ano o custo médio de uma falha de cibersegurança foi de 4,26 milhões de euros. Segue-se uma lista com as recomendações mais úteis para salvaguardar a sua empresa ou organização caso sofra um ataque informático.

1 – Centralize a coordenação da resposta ao incidente – Todas as medidas após um ataque informático devem ser perfeitamente coordenadas a partir de um único ponto e, em particular, não devem ser tomadas medidas unilaterais por diferentes departamentos, pois podem distorcer a informação durante o processo de Threat Hunting;

2 – Identifique e analise – Uma vez confirmado que a organização foi atacada, o desafio é identificar, com a maior precisão possível, tanto os vetores de ataque como as provas ou indicações provenientes do incidente. Deve ser efetuada uma análise exaustiva a fim de determinar os Indicadores de Compromisso do incidente, bem como o modus operandi do grupo criminoso envolvido;

3 – Implemente uma estratégia de contenção dos elementos infetados para travar a propagação de vírus – Estas dependerão do tipo de incidente e dos recursos e capacidades de contenção disponíveis, tendo em conta ainda a eventual necessidade de preservar provas forenses da atividade criminal e a sustentabilidade de uma solução definitiva ou temporária;

4 – Erradicação e recuperação – Após um computador ter sido contido devido a uma ameaça, o trabalho de erradicação e recuperação deve começar, para que a normalidade diária de toda a empresa possa eventualmente ser reposta. Nesta fase, existem várias possibilidades como a reinstalação do equipamento, a restauração de um backup anterior ao incidente ou a limpeza do equipamento de elementos maliciosos;

5 – Análise forense e estabelecimento da linha cronológica – A fase mais grave do incidente não é o melhor momento para fazer uma análise completa da linha cronológica, da sua causa e origem. Em geral, recomenda-se que toda a análise forense do incidente seja orientada para a reconstrução de uma linha cronológica do ataque, a fim de localizar vestígios de atividade maliciosa;

6 – Comunicação interna – Estando as comunicações dentro da empresa comprometidas, é urgente encontrar um canal de comunicação alternativo que possa servir como ferramenta de comunicação segura para partilhar informações sobre a gestão da crise. Se não existir, podem ser estabelecidas plataformas de comunicação e colaboração alternativas (tais como Teams, ou grupos no Slack, Signal ou Telegram);

7. Comunicação externa – Todas as comunicações externas devem ser supervisionadas por um gabinete de crise, que deve solicitar informações à coordenação técnica para notificar clientes, parceiros ou proprietários de dados pessoais comprometidos na ótica do Regime Geral da Proteção de Dados e, sobretudo, as forças de segurança pública;

8. Reflexão e aprendizagem – Após o incidente ser mitigado e a recuperação estar terminada, é boa prática fazer um balanço das aprendizagens durante a crise, a fim de melhorar as medidas de segurança, desenvolver novos processos e implementar novas tecnologias para a deteção, análise e mitigação de futuros incidentes. Na sequência da gestão de incidentes, e como parte do processo de aprendizagem, são também recomendadas reuniões de balanço globais.