NIST: porque é que a “recuperação” não pode funcionar por si só

As orientações do NIST, publicadas pela primeira vez em 2014, têm servido como uma orientação educativa e académica. A versão mais recente inclui atualizações importantes, como a incorporação da governação de dados como um dos pilares fundamentais. Infelizmente, fica aquém num aspeto significativo, porque não refere o suficiente sobre o ingrediente mais crucial de qualquer plano de cibersegurança abrangente e contemporâneo: a capacidade de recuperar de um ciberataque.

É importante ter em conta que recuperar de um ataque não é o mesmo que recuperar de uma catástrofe natural ou assegurar a continuidade do negócio. Não é suficiente acrescentar a função de recuperação a um plano mais alargado de resposta a incidentes. A recuperação deve estar enraizada seus planos de resposta da equipa de cibersegurança. E mesmo fora de um cenário de crise, deve ser estabelecido um ciclo de feedback contínuo, com todas as partes da função de cibersegurança - incluindo a recuperação - a partilharem sempre informações e a fazerem parte do mesmo fluxo de trabalho.

Muitas organizações têm em conta as novas diretrizes do NIST com a melhor das intenções. Mas, se o esforço das empresas for o mínimo dos mínimos aceitáveis, pode levar a uma falsa sensação de ciberresiliência, conduzindo a uma incapacidade de voltar a fazer negócios na eventualidade de um ataque.

Dado o cenário de ameaças persistentes e o número crescente de regulamentos, como o Digital Operational Resilience Act (DORA) da UE, as empresas precisam urgentemente de colmatar as lacunas nos seus planos de preparação para a cibersegurança.

Mudança de mentalidades

Embora o NIST disponibilize um quadro abrangente, o setor da cibersegurança (e, já agora, a maioria das empresas) presta muito mais atenção à parte que se centra na prevenção de ciberataques. Isso é importante, mas a prevenção nunca pode ser garantida e não deve ser feita à custa de um plano de segurança abrangente.

Quando as empresas alinham os seus próprios processos de cibersegurança com os do NIST, podem sub-investir ou simplesmente ignorar a fase de recuperação. Este é um risco que nenhuma organização se pode dar ao luxo de correr, uma vez que poderá ocorrer uma violação. Por conseguinte, a plataforma de recuperação deve ser integrada na base de segurança para ajudar a proteger o ambiente empresarial e garantir que a empresa está pronta para voltar a estar online.

O segredo para uma recuperação sólida é o planeamento. Para as empresas estarem verdadeiramente seguras, devem tomar medidas agora para integrar a tecnologia e as pessoas responsáveis pela recuperação no resto da sua função de cibersegurança.

Quando isto acontece, embora as equipas de recuperação possam continuar a funcionar de forma independente, existe um ciclo de feedback contínuo. Desta forma, as várias partes das equipas de segurança podem continuar a enviar e receber facilmente informações de e para as outras funções.

Testar, testar, testar 

Embora as empresas tenham muitas vezes em mente os prazos para repor os sistemas em funcionamento, muito menos consideram plenamente o que é necessário para atingir esse estado seguro após um ataque.

Os testes ajudam a determinar quanto tempo deve demorar cada passo na identificação e reparação de uma violação, para que as empresas tenham um ponto de referência quando ocorrer um incidente real. E se os ambientes de cópia de segurança não forem corretamente testados, a função de recuperação torna-se muito mais difícil e potencialmente mais perigosa. Ao restaurar a partir de um ambiente de cópia de segurança não testado, a empresa pode inadvertidamente restaurar um código malicioso implantado, disponibiliza acesso a um atacante ou reverter para um estado vulnerável.

As empresas devem realizar ativamente simulacros que testem todas as facetas da sua ciber-resiliência para descobrir os pontos fracos existentes, incluindo quaisquer problemas que possam afetar a capacidade da empresa para repor os seus sistemas de TI em funcionamento.

Importância do processo de recuperação 

A integração de ferramentas de recuperação no arsenal mais vasto de resposta a incidentes pode oferecer informações valiosas para preparar e responder a um ataque.

Historicamente, a falta de investimento no momento de recuperação reflete a falta de inovação nesta área. Embora áreas como a gestão de identidades tenham sido um dos principais focos dos fornecedores e clientes de TI, houve muito menos ferramentas de recuperação abrangentes. Em vez disso, as empresas tendem a carregar todos os seus dados para o fornecedor de serviços na cloud da sua escolha e assumem que a qualidade do serviço é o único fator que importa.

No entanto, os sistemas de recuperação modernos podem monitorizar ativamente os repositórios de cópias de segurança e enviar regularmente informações às equipas de segurança para detetar qualquer comportamento anómalo muito mais rapidamente do que no passado. Uma capacidade vital à medida que os hackers atacam cada vez mais os centros de dados. E à medida que uma plataforma de restauro ciberresiliente se torna parte da estrutura de segurança moderna, esta plataforma deve ligar-se a sistemas como o SIEM e o SOAR, para que as empresas tenham a capacidade de auditar todo o seu ambiente das TI, conforme exigido por vários regulamentos em todo o mundo.  

Alinhar as pessoas com o processo de recuperação 

Embora muitas organizações tenham especialistas dedicados aos outros processos da estrutura NIST, poucas têm equipas ou mesmo indivíduos dedicados à gestão da recuperação.

Muitas vezes, a função situa-se algures entre os domínios do CISO e do CIO, sem que ninguém se aproprie dela. A equipa de segurança, sobrecarregada de trabalho, encara muitas vezes a recuperação como algo aborrecido e que ocorre apenas no final de um processo caótico que deveria ser tratado pela equipa de TI.

Entretanto, a equipa de TI, a menos que esteja muito familiarizada com a segurança, pode nem sequer saber o que é a estrutura NIST. Confrontados com as queixas consequentes de um ataque, a sua atenção centra-se simplesmente em fazer com que o ambiente volte a funcionar o mais rapidamente possível e podem não reconhecer o perigo que uma recuperação precipitada e não planeada pode representar.

Priorizar a recuperação de um ciberataque é dedicar recursos à supervisão da recuperação, assegurando que este passo não é esquecido no planeamento e nos testes em curso, muito menos no caos que muitas vezes acompanha uma violação.

Quando um individuo ou uma equipa responsável pela recuperação recebem uma orientação estratégica da direção executiva e lhe são atribuídas responsabilidades adequadas, pode garantir que os protocolos de resposta são testados regularmente, bem como ser o intermediário entre a tarefa de recuperação e a equipa de cibersegurança.

O planeamento é a alma do negócio 

Nesta era, em que todas as empresas enfrentam um potencial ciberataque, a recuperação deve ser reconhecida como uma fase tão importante como as outras etapas da orientação disponibilizada pelo NIST. Ou talvez até mais importante.

As empresas que apenas investem na ciberdefesa acabarão por perder esta luta. Os cibercriminosos tentarão todas as táticas possíveis para se infiltrarem nos sistemas das empresas e não haverá forma possível das empresas se proteger contra todas as manobras. 

Em vez disso, as empresas devem estar mais bem preparadas do que os agentes maliciosos. Caso contrário, sem um plano de resposta comprovado para recuperar de forma fiável e segura, as empresas não terão outra alternativa senão pagar o resgate.