A segurança cibernética começa com seus funcionários

Estamos todos familiarizados com Smokey the Bear e o slogan "Only You Can Prevent Wildfires". Em 2015, Smokey recebeu uma atualização e os novos anúncios “Receba um Abraço de Urso” foram veiculados em todo o país. No anúncio, Smokey sai correndo da floresta e dá um grande abraço de urso em um campista para verificar adequadamente as brasas da fogueira. A nova versão mais abraçável de Smokey recompensa os campistas por tomarem decisões responsáveis, em vez de repreendê-los para evitar incêndios florestais. O medo e a ansiedade nem sempre são os melhores motivadores, e muitas pessoas respondem melhor à motivação positiva por meio de atividades de conscientização.

Outubro é o mês nacional de conscientização sobre segurança cibernética. Em 2003, foi criado para garantir que os americanos tenham os recursos de que precisam para permanecer seguros e protegidos online. Outubro é uma ótima época para os fabricantes de pequeno e médio porte (SMMs) educarem os funcionários sobre a função vital que desempenham na proteção dos negócios contra ataques cibernéticos, ao mesmo tempo em que fornecem uma mensagem positiva de segurança cibernética. Uma boa maneira de fazer isso é criar um Plano de Resposta a Incidentes de Cibersegurança e comunicar a função crítica que cada funcionário desempenha na prevenção e resposta a um incidente.

Um incidente de segurança cibernética é definido como "uma ocorrência que realmente ou potencialmente compromete a confidencialidade, integridade ou disponibilidade de um sistema de informação ou as informações que o sistema processa, armazena ou transmite ou que constitui uma violação ou ameaça iminente de violação das políticas de segurança, procedimentos de segurança ou políticas de uso aceitável. ” Exemplos incluem:

• Tentativas de fontes não autorizadas de acesso a sistemas ou dados.
• Interrupção não planejada de um serviço ou negação de um serviço.
• Processamento ou armazenamento não autorizado de dados.
• Alterações não autorizadas no hardware, firmware ou software do sistema.

Um Plano de Resposta a Incidentes é um conjunto de instruções ou procedimentos escritos para sua empresa detectar, responder e limitar as consequências de um ataque cibernético malicioso. O plano inclui preparação, detecção e análise, contenção e erradicação e recuperação. Um Plano de Resposta a Incidentes deve ser implementado antes que ocorra um ataque para limitar os danos causados. Também ajudará a reduzir o tempo e o custo de recuperação de um ataque.

1. Preparação

Uma boa regra quando se trata de segurança cibernética é planejar o pior. O número de ataques cibernéticos está aumentando e as SMMs são os principais alvos dos criminosos cibernéticos, visto que muitas dessas empresas não possuem medidas preventivas adequadas em vigor.

Sua capacidade de responder rapidamente (e apropriadamente) pode ajudar a mitigar os danos. Você desejará identificar as pessoas-chave que precisam ser notificadas e cada pessoa deve compreender e ser treinada em suas funções e responsabilidades quando ocorrer um incidente.

Você também deseja criar e manter uma lista de ativos - pessoas, processos e tecnologia que ajudam sua empresa a manter suas operações diárias.

2. Detecção e análise

É importante instalar e atualizar regularmente programas antivírus, antispyware e outros programas antimalware porque os computadores são regularmente ameaçados por novos vírus e táticas cibercriminosas.

Além disso, você deve manter e monitorar logs, que documentam automaticamente as operações de um computador e de seu usuário, como acessar sites e criar e modificar arquivos. Os logs fornecem um registro detalhado de atividades que podem ser usados ​​para reconstruir a sequência de uma rede ou sistema que foi comprometido. A linha do tempo, a fonte de contaminação e os dispositivos ou servidores contaminados podem ser rastreados e analisados ​​usando esses arquivos de log. Isso não apenas ajudará você a detectar um incidente, mas também a identificar quaisquer vulnerabilidades em potencial e remediá-las.

3. Contenção

Usando as informações que você reuniu, você desejará conter e combater o incidente. Alguém precisará de autoridade para tomar decisões rápidas sobre as etapas necessárias para conter o incidente. Isso será mais fácil de gerenciar se você já tiver identificado as pessoas-chave que devem ser notificadas da ocorrência de um incidente. Certifique-se de atualizar regularmente as informações de contato e de fácil acesso para a equipe necessária. As atividades operacionais normais podem precisar ser temporariamente pausadas até que o incidente seja resolvido.

4. Erradicação e recuperação

Agora que conteve o incidente, você desejará remover a causa e restaurar os sistemas à sua funcionalidade normal. Isso pode ser tão simples quanto remover um vírus de um servidor ou dispositivo, ou pode significar a restauração de dados de um backup. Os sistemas podem precisar ser colocados online em etapas. Por esse motivo, é importante agendar backups incrementais, pois um incidente pode ocorrer a qualquer momento.

Você também deve considerar as lições aprendidas após um incidente e fazer quaisquer melhorias nos processos, procedimentos ou tecnologias.

Plano de resposta ao incidente em ação

Recentemente, um SMM sofreu um ataque de spear phishing. Spear phishing é um ataque que visa roubar informações confidenciais da empresa, como dados financeiros, ou acessar a rede de uma empresa por meio de um e-mail que parece inofensivo.

Um funcionário do fabricante recebeu um e-mail de um fornecedor que continha malware disfarçado em um arquivo PDF. O e-mail parecia legítimo e era uma resposta a e-mails reais que o funcionário da empresa havia enviado no dia anterior. Os invasores usaram a engenharia social para adaptar o e-mail ao funcionário do departamento de contabilidade que era responsável pelo pagamento das faturas. Quando o funcionário da empresa abriu o arquivo PDF, um código malicioso foi introduzido na rede da empresa.

Felizmente, o fabricante havia acabado de trabalhar com o MEP Center local para melhorar a segurança cibernética. A empresa desenvolveu e implementou um Plano de Resposta a Incidentes. Eles treinaram seus funcionários para reconhecer ataques de phishing e o que fazer se um incidente de segurança cibernética ocorresse. A empresa detectou a ameaça do código malicioso e, com o novo Plano de Resposta a Incidentes em vigor, foi capaz de responder imediatamente. Os funcionários sabiam o que deveriam fazer, retiraram o plano e entraram em ação. Como apenas um computador havia sido infectado, a equipe de TI o removeu da rede e o código malicioso foi interrompido.

O papel crítico desempenhado pelos funcionários

Seus funcionários são sua primeira linha de defesa contra ataques cibernéticos. Ter um Plano de Resposta a Incidentes em vigor e treinar seus funcionários sobre como responder fornece uma abordagem de segurança cibernética positiva. Muitos SMMs ainda desconhecem e não se preocupam com seus riscos cibernéticos.

Trinta e quatro por cento de todos os ataques documentados tinham como alvo fabricantes, e SMMs são especialmente vulneráveis. Os cibercriminosos costumam ver essas empresas como uma porta de entrada fácil na cadeia de suprimentos. Mais de 90 por cento do malware é entregue por e-mail e basta um clique errado para comprometer o seu negócio. Os cibercriminosos sabem que se eles invadirem seu sistema, eles podem acessar sua rede e coletar informações confidenciais sobre seus clientes.

Embora você possa achar que os criminosos não estão atrás das informações da sua empresa, pode ter certeza de que eles estão interessados ​​nas informações confidenciais que você tem sobre seus clientes e os clientes deles. Embora as estatísticas e os eventos de conscientização que destacam as ameaças aos seus sistemas possam criar medo entre os SMMs, eles nem sempre resultam em ação. Acredito que precisamos avançar em direção a uma mensagem de segurança cibernética mais positiva para seus funcionários. Assim como Smokey, vamos nos afastar do urso assustador e ir em direção ao grande bearhug.

Para saber mais sobre este assunto, você pode visitar a página de recursos de segurança cibernética do NIST MEP ou conectar-se com a rede nacional MEP local ^TM Centro para perguntas ou suporte.