É como no filme”Groundhog Day”. Todo dia 31 de março a música toca e no Dia Mundial do Backup somos lembrados da promessa:”Juro solenemente fazer backup de meus documentos e aplicativos importantes”. Um objetivo nobre com o qual todas as empresas e todos os usuários concordam imediatamente.
Mas nas semanas que antecedem o Dia Mundial do Backup, ouvimos da mídia que empresas foram invadidas e seus dados sequestrados por ransomware. A grande promessa de restaurar os dados do backup e, assim, resistir a qualquer tentativa de chantagem é então quebrada novamente.
Os números falam por si, e o último relatório da indústria ENISA sobre o setor de transporte fornece os fatos. No ano passado, o ransomware foi a ameaça dominante, respondendo por 38% de todos os ataques registrados, com exclusão de dados em 30% e malware em 17%, em segundo e terceiro lugares, respectivamente. O relatório enfatiza claramente que, devido à guerra Rússia/Ucrânia, atores apoiados pelo Estado e hacktivistas realizaram ataques direcionados contra o setor de transporte na Europa. Evidência clara de que a motivação está mudando para”interromper e destruir as operações”.
As empresas também não devem olhar apenas para o ransomware. Nem sempre precisa ser um ato hostil que faça o backup e o processo de recuperação de desastres associados valerem a pena. Quando uma escavadeira cortou fibras ópticas importantes durante o trabalho de construção no aeroporto de Frankfurt no início de fevereiro, as operações foram alternadas para sistemas e linhas redundantes. No entanto, ao tentar voltar à operação normal, o sistema primário oscilou e teve que ser desligado por várias horas. Vários milhares de voos foram cancelados e a reputação da Lufthansa foi prejudicada.
A colaboração é fundamental
Por que as empresas têm tanta dificuldade com essa tarefa? Um dos motivos é a complexidade de seus ambientes e a crescente dependência de software e dados, que estão se tornando mais distribuídos. Eles fizeram tentativas de controlar a expansão e acabaram com dezenas de soluções isoladas de backup e recuperação de desastres. O resultado: algumas aplicações são negligenciadas, passam despercebidas e caem na rede de segurança. Em uma emergência, os processos devem ser executados manualmente por pessoas altamente estressadas. Erros acontecem e isso aumenta o tempo de recuperação. É aqui que as empresas devem começar a se modernizar, substituindo o crescimento descontrolado por uma plataforma central de segurança e gerenciamento de dados, acompanhada de um forte plano de resiliência operacional digital.
Além da resposta técnica, é vital que as empresas garantam que seus as equipes de segurança trabalham mais de perto com as equipes de infraestrutura que são responsáveis pela recuperação de dados. Ambas as equipes precisam se unir para conter as consequências de um ataque bem-sucedido e, ao mesmo tempo, manter as operações principais. E eles devem coordenar estreitamente para restaurar os sistemas de forma limpa e protegida, para que não sejam comprometidos pelo mesmo ataque novamente.
Ambas as equipes devem concordar com estas quatro coisas:
ITOps e SecOps devem ser coproprietários dos resultados da resiliência cibernética
Os resultados da resiliência cibernética devem ser definidos de maneira objetiva e mensurável, idealmente gerenciados por uma função combinada de CISO/CIO.
Esses resultados de resiliência cibernética precisam incluir RPO e RTO agressivos que definem metas específicas para o objetivo geral: as equipes de ITOps e SecOPs precisam ser capazes de restaurar serviços e dados críticos mesmo durante um incidente cibernético, como um ataque de ransomware e entregar os resultados de negócios.
O RPO e o RTO também orientarão ambas as equipes sobre quais controles e KPIs são necessários para fornecer a postura de segurança desejada. Isso fará parte de seu plano de resiliência operacional digital, que é um estágio além das abordagens de DR/BCP adotadas por muitas empresas atualmente.
2. Planejamento conjunto de ITOps/SecOps alinhado com metas de postura de segurança
Depois que ambas as equipes, SecOps e ITOps, concordam com os objetivos comuns, elas podem iniciar uma discussão baseada em fatos sobre como equilibre os investimentos em controles de proteção e controles que minimizem o impacto em caso de violação. Ao seguir essa abordagem, essa conversa conjunta sobre orçamento permanece alinhada com a postura de segurança e define as prioridades corretas para alcançar a resiliência operacional digital.
3. Entendimento abrangente entre as equipes ITOps/SecOps da superfície de ataque
Ambas as equipes precisam compartilhar o mesmo entendimento da superfície de ataque em potencial.
Para obter esses insights , ambas as equipes precisam saber quais dados a organização está armazenando e onde tudo está localizado (no local, nuvem privada, nuvem pública/multinuvem)
Ambas as equipes também devem ter o mesmo entendimento do nível de maturidade que sua organização tem com a visibilidade dos dados. Isso permitirá que eles entendam melhor o risco potencial de ataques cibernéticos e perda de dados.
4. Coordenação entre ITOps/SecOps com resposta a incidentes
Finalmente, as equipes de ITops e SecOps precisam aumentar a colaboração para interagir melhor durante uma resposta a incidentes. Para conseguir isso, as equipes de ITOPs precisam estar vinculadas ao processo de resposta a incidentes. Para avaliar a qualidade de sua interação, bem como para identificar possíveis problemas, ambas as equipes devem realizar exercícios e simulações regulares como exercícios de mesa, incluindo recuperação testada por meio de salas limpas para demonstrar RTO, que geralmente é diferente de seus tempos BCP tradicionais.
Crédito da imagem: Wayne Williams
Brian Spanswick é Diretor de Segurança da Informação da Cohesity.