Se houver um ataque ao país, os militares se mobilizam. Quando ocorre um desastre natural, planos de recuperação entram em vigor. Se uma doença infecciosa começar a se espalhar, oficiais de saúde lançam uma estratégia de contenção.

Os planos de resposta são essenciais para a recuperação em situações de emergência, mas quando se trata de cibersegurança, a maioria das indústrias não está prestando atenção.

"A realidade é que não importa o quão incrível você seja com seus recursos de prevenção, você vai ser hackeado, "disse Mohammad Jalali, um membro do corpo docente de pesquisa do MIT Sloan, cujo trabalho está atualmente focado em saúde pública e segurança cibernética organizacional. “Então o que você vai fazer? Você já tem um bom plano de resposta em vigor que é continuamente atualizado? E os canais de comunicação estão definidos, e as responsabilidades das partes interessadas são definidas? Normalmente, a resposta na maioria das organizações é não. "

Para ajudar a resolver os pontos fracos da segurança cibernética nas organizações, Jalali e seus colegas pesquisadores Bethany Russell, Sabina Razak, e William Gordon, construiu uma estrutura de oito estratégias de resposta agregadas. Eles chamam isso de EARS.

Jalali e sua equipe revisaram 13 artigos de periódicos envolvendo segurança cibernética e saúde para desenvolver EARS. Embora os casos sejam relacionados a organizações de saúde, as estratégias podem ser aplicadas a uma variedade de setores.

A estrutura EARS é dividida em duas metades:pré-incidente e pós-incidente.

Pré-incidente:

1-Construção de um plano de resposta a incidentes:Este plano deve incluir etapas para detecção, investigação, contenção, erradicação, e recuperação.

"Uma das fraquezas comuns que as organizações têm é que elaboram um plano de resposta a incidentes, mas o problema é que a documentação geralmente é muito genérica, não é específico da organização, "Jalali disse." Não há claro, específico, lista de itens acionáveis. "

Certifique-se de que todos na organização conheçam o plano, não apenas os funcionários do departamento de TI. Estabeleça canais de comunicação claros, e ao atribuir responsabilidades, certifique-se de que estão claramente definidos.

2 - Construção de uma política de segurança da informação para agir como um impedimento:etapas de segurança claramente definidas estabelecem e incentivam a conformidade.

"Muitas empresas pensam que conformidade é segurança, "Jalali disse." [Que] se você apenas seguir as informações, você será cuidado. "

Não coloque a barra tão baixa que a organização não seja segura. Os regulamentos devem garantir a compreensão das ameaças cibernéticas. Estabeleça razões motivacionais para as equipes de resposta seguirem as políticas de relatórios. A conformidade deve andar de mãos dadas com a melhoria contínua.

3 - Envolvimento de pessoal-chave dentro da organização:Não importa o tamanho de uma organização, os principais líderes precisam ser educados sobre a importância da segurança cibernética e estar prontos para agir de acordo com o plano de resposta.

Os líderes não precisam ser especialistas em segurança cibernética, mas eles precisam entender o impacto que um incidente terá em sua organização. Quanto mais informados eles são, quanto mais envolvidos eles podem estar em um plano de resposta.

4 - Simulação regular de planos de recuperação:os exercícios de recuperação ajudam as organizações a testar os planos de estresse e treinar os funcionários nos protocolos de resposta adequados.

Se a organização apenas testa seu plano de recuperação durante uma emergência real, é provável que haja problemas sérios, o que pode aumentar a quantidade de danos causados ​​pelo incidente cibernético.

A mudança de uma postura reativa para pró-ativa pode ajudar uma organização a identificar pontos fracos ou lacunas em seu plano de recuperação, e resolva-os antes que ocorra um incidente.

Pós-incidente:

5 - Contenção do incidente:A contenção envolve medidas proativas e reativas.

É mais fácil desligar dispositivos infectados de uma rede se eles já estiverem segmentados de outros dispositivos e conexões, antes de um incidente.

Os pesquisadores admitem que nem sempre é possível segmentar redes, nem para desconectá-lo imediatamente de todo o sistema. Pelo menos, comunique imediatamente o dispositivo infectado à equipe de TI da organização para conter o incidente.

6 — Ética incorporada e envolvimento de outras pessoas além da organização:É importante lembrar que todas as partes interessadas de uma organização podem ser afetadas por um incidente cibernético.

Notifique prontamente o conselho jurídico e as agências regulatórias e de aplicação da lei relevantes. Considere a ajuda de recursos externos e compartilhe informações sobre a ameaça cibernética.

7 — Investigação e documentação do incidente:Seja oportuna e completa; cada etapa da reação pré e pós-incidente deve ser documentada.

A investigação deve ter como objetivo encontrar a causa técnica raiz do problema, bem como pontos fracos que podem prevenir ataques futuros. A documentação adequada é uma necessidade para esta análise.

8 — Construção de um algoritmo de avaliação e recuperação de danos:As organizações devem se autoavaliar após o incidente.

Enquanto os computadores estão onde os ataques cibernéticos acontecem, eles também podem ser usados ​​para ajudar na recuperação. As organizações podem aproveitar o poder dos computadores, especialmente a inteligência artificial, para detecção e contenção de incidentes em tempo real.

"As estruturas comumente usadas para estratégias de resposta a incidentes muitas vezes perdem essa etapa essencial, "Jalali disse, "embora já existam produtos baseados em IA para este propósito."