Wednesday, January 12, 2022
HomeSocial Media & InternetAs empresas precisam de uma melhor resposta a violações, diretrizes regulatórias claras

As empresas precisam de uma melhor resposta a violações, diretrizes regulatórias claras

As organizações hoje não têm uma estrutura adequada que as ajude a responder rapidamente quando ocorrerem um incidente de segurança cibernética. Os governos podem ajudar estabelecendo diretrizes e protocolos claros, mas requisitos excessivamente restritivos podem desencorajar as empresas a divulgar que sofreram uma violação.

Como está, as empresas estão no limite de que podem enfrentar litígios de clientes quando ocorre um incidente de segurança.

Mais estavam se movendo para manter as coisas em segredo sobre as preocupações sobre ações coletivas ou qualquer outra ação legal em potencial, disse Jess Burn, analista sênior da Forrester, especialista em resposta a incidentes e gerenciamento de crises, bem como treinamento de segurança.

Seguros e privilégios advogado-cliente muitas vezes atrapalhavam a transparência total dessas empresas, principalmente na América do Norte, onde a sociedade era considerada altamente litigiosa, disse Burn em entrevista em vídeo ao ZDNet.

As organizações divulgariam o que era exigido pelos reguladores e colocariam todo o resto sob um contrato dedicado que assegurasse que as investigações, após uma violação, fossem mantidas sob sigilo advogado-cliente, disse ela.

Isso significava que qualquer parte envolvida na investigação poderia ser impedida de divulgar comunicações confidenciais entre a organização violada e seus advogados.

Burn observou que os advogados estavam cada vez mais envolvidos em qualquer comunicação que as empresas divulgassem em relação a uma violação. Relatórios e documentações sobre a avaliação de violação, que as organizações podem ser obrigadas a realizar e pagar quando sofressem um incidente, também seriam fortemente controlados.

A complexidade de determinar e entender a extensão de uma violação também agravou ainda mais o problema. Ela explicou que alguns provedores de seguros cibernéticos não cobririam ataques patrocinados pelo Estado, mas definiram essas violações de forma tão ampla que seria necessário algum esforço antes que os ataques fossem oficialmente atribuídos.

Isso pode levar algumas organizações a permanecerem em silêncio até que possam verificar completamente sua posição antes de relatar a violação, disse ela.

As empresas já devem saber para quem ligar

Questões legais à parte, as organizações devem ter um plano para ajudá-las a navegar rapidamente quando houver um incidente de segurança cibernética. Isso ainda está faltando na maioria das empresas hoje.

Muitos ainda estavam investindo a maior parte de seu dinheiro em proteção, em vez de definir como eles precisavam responder no caso de um incidente de segurança, disse Richard J. Watson, líder de consultoria de segurança cibernética da Ásia-Pacífico da EY Global.

A principal prioridade para as empresas deve ser garantir que tenham uma estrutura sobre como devem responder a uma violação, disse ele em entrevista ao ZDNet. Isso seria fundamental para aumentar a resiliência cibernética e garantir a disponibilidade da rede, especialmente porque os funcionários trabalhavam em casa e remotamente, disse ele.

As empresas simplesmente não estavam preparadas e tentariam descobrir como deveriam responder em meio a um incidente de segurança, disse Mark Goudie, diretor de serviços da CrowdStrike na Ásia-Pacífico Japão.

“É como um médico folheando um manual enquanto opera um paciente”, disse Goudie em entrevista. “Eles não foram treinados e não estão prontos.”

Burn concordou, acrescentando que muitas organizações esperaram até serem violadas para chamar os investigadores.

“A melhor prática é ter um retentor no lugar e ter alguma integração antes que uma violação aconteça”, disse ela. “Traga uma empresa que possa avaliar sua prontidão e plano de resposta a incidentes e execute um exercício de mesa para preparar sua equipe e executivos.”

“O erro é esperar e ligar para uma linha direta de algum provedor de resposta a incidentes conhecido para obter ajuda. [after a breach occurs]. É tarde demais. Você perderia três a cinco dias [which] elas [need to] entender o fluxo de trabalho e os sistemas da sua empresa. Você precisa estabelecer um relacionamento com eles e um advogado externo, e fazer com que eles o ajudem a ensaiar todo o seu plano de resposta a incidentes”, observou ela.

Goudie acrescentou que ter um retentor garantiu que as organizações tivessem acesso à ajuda quando uma grande vulnerabilidade, como o recente Log4j, foi descoberta. Os provedores de serviços de resposta a incidentes, por exemplo, seriam inundados com chamadas de serviço e provavelmente priorizariam os clientes existentes sobre os novos que ainda precisavam assinar um contrato.

Além disso, um plano de resposta a incidentes permitiria às organizações identificar uma ameaça mais rapidamente, ter visibilidade da ameaça e responder rapidamente. O objetivo aqui era evitar que o incidente de segurança se transformasse em uma violação de dados, disse ele. acrescentando que muitas vezes havia uma janela durante a qual isso poderia ser interrompido.

Watson observou que, embora fosse fácil detectar quando havia atividades suspeitas na rede, era mais difícil determinar a gravidade de uma possível violação.

Ele também sugeriu que as organizações trabalhassem com um fornecedor de resposta a incidentes para ajudá-las a navegar pelas violações, durante as quais dois cursos de ação precisavam acontecer. As empresas primeiro tiveram que descobrir se havia algum vazamento de dados ou violação de privacidade e, portanto, decidir se as autoridades relevantes devem ser notificadas sobre o incidente de segurança.

As organizações afetadas tiveram que descobrir o tipo de violação que ocorreu e potencialmente se preparar para a preservação de dados, disse ele. Isso poderia afetar a velocidade de resposta, pois era essencial que os dados de evidências e diagnósticos fossem preservados.

As empresas que não preparam adequadamente ou têm um processo bem definido em vigor provavelmente acabariam reconstruindo seus sistemas, pois essa era a maneira mais rápida de colocar suas operações em funcionamento. No processo de fazê-lo, no entanto, eles podem acabar removendo todas as evidências.

Isso significava que eles não seriam capazes de identificar e entender a causa da violação, para que a vulnerabilidade pudesse ser conectada para evitar uma recorrência, disse Watson.

As empresas que não se esforçarem para preservar as evidências de um ataque também podem limitar sua capacidade de registrar uma reclamação de seguro, acrescentou.

Ele disse que a EY adotou uma abordagem de sete etapas no caso de um incidente de segurança, que englobou a mobilização da resposta planejada, obtenção de evidências, investigação, caça a ameaças, contenção, mitigação e recuperação.

Ele reiterou a necessidade de uma divisão mais equilibrada do investimento em proteção de segurança, bem como resposta e recuperação.

Goudie também destacou a importância de estabelecer planos de resposta e manuais para diferentes ameaças, sejam ransomware ou ataques de estado-nação. Isso deve orientar a equipe de operações sobre o que eles precisam fazer para que possam reagir rapidamente, disse ele.

Regulamentos para impulsionar o compartilhamento de informações

Observando que a maioria das regulamentações atualmente estava focada na violação de dados e garantindo a divulgação adequada, Watson também pediu mais relatórios sobre outros tipos de incidentes, como ransomware e indicadores de comprometimento.

Incentivar as organizações a compartilhar informações sobre atividades de ataque que identificaram e bloquearam em sua rede pode beneficiar o setor, principalmente se outras organizações não conseguiram impedir táticas de ataque semelhantes, disse ele.

Ele sugeriu que os governos liderassem esforços para estabelecer padrões ou plataformas comuns para compartilhamento de informações sobre indicadores de comprometimento, para que organizações em setores críticos, como finanças, serviços públicos e manufatura, pudessem alavancar essas redes de conhecimento.

Ter protocolos padronizados também automatizaria esses processos e facilitaria o envio e o compartilhamento de dados, disse ele.

Watson sugeriu ainda a necessidade de que os regulamentos fossem além da proteção e incluíssem resposta a incidentes, como um conjunto mínimo de requisitos que determinam como as empresas devem responder em caso de violação.

“Há uma confiança implícita no momento de que as empresas estão realizando uma investigação adequada, já que o ônus de relatar às autoridades é deles, mas sabemos que as empresas geralmente não têm resposta suficiente”, disse ele. “Você não pode saber o que não sabe. E, no entanto, as regulamentações agora se baseiam no fato de que as empresas estão fazendo um bom trabalho para dimensionar a violação e responder.”

Essas suposições refletiam uma falha inerente ao sistema, disse ele, enfatizando a necessidade de as organizações terem a estrutura e os recursos apropriados de resposta a incidentes.

Goudie, no entanto, observou que mandatos e punições podem resultar em mais penalizações de organizações que já foram vítimas de uma violação.

Regulamentos excessivamente restritivos também podem fazer com que as empresas gastem mais tempo respondendo a mandatos do que respondendo ao próprio incidente de segurança, disse ele.

Ele também apresentou a necessidade de métricas para impulsionar o compartilhamento de informações para que o setor pudesse entender e aprender melhor como os agentes de ameaças obtiveram acesso a redes violadas. Esses dados podem ser distribuídos às autoridades relevantes e compartilhados entre as empresas da vertical afetada.

Ele observou que os agentes de ameaças normalmente usavam as mesmas táticas e procedimentos para realizar ataques, incluindo aqueles direcionados a determinados setores da indústria.

“Se pudermos entender sua cartilha e informar a vertical sobre como uma vítima [in that vertical] foi comprometido, isso ajuda toda a indústria a se tornar mais resiliente para o próximo ataque”, disse ele.

Burn observou que qualquer relutância em fornecer informações e a falta de transparência eram prejudiciais ao setor de segurança, durante um momento em que deveria haver mais compartilhamento de dados para combater melhor os ataques.

Com o público em geral acostumado a ver notícias sobre incidentes de segurança em meio ao aumento das violações, ela disse que os consumidores são mais tolerantes quando as empresas sofrem um ataque cibernético.

No entanto, eles estariam menos inclinados a fazê-lo se as empresas fossem menos diretas sobre uma violação e fizessem esforços para esconder a verdade dos clientes, disse o analista da Forrester.

Ela apontou para a fabricante norueguesa Norsk Hydro, que recebeu muitos elogios por sua abertura e transparência depois de sofrer um ataque de ransomware em 2019. Ela compartilhou detalhes sobre o incidente e como trabalhou para se recuperar dele, depois de se recusar a pagar o resgate.

“Acho que precisamos encontrar uma maneira [to address] preocupações sobre ações judiciais e combater ataques com transparência”, disse Burn.

Ela acrescentou que, embora as empresas devam ser penalizadas se sua negligência for considerada a causa de uma violação, as organizações devem ter alguma liberdade para não serem penalizadas por dizer a verdade.

COBERTURA RELACIONADA

source – www.zdnet.com

Sandy J
Hi thanks for visiting Asia First News, I am Sandy I will update the daily World and Music News Here, for any queries related to the articles please use the contact page to reach us. :-
ARTIGOS RELACIONADOS

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Mais popular

x