Vários milhares de euros de custos na eventualidade de um ataque, uma importância cada vez maior da relação com o cliente e da reputação da marca, indicam que as empresas devem não só ter medidas de prevenção de um ciberataque, mas também um plano de resposta preparado e testado na eventualidade de um ataque.

Confrontar um ciberataque requer uma interação de pessoas, processos e ferramentas. À medida que as empresas reúnem os factos e que as investigações revelam informações adicionais, as conclusões iniciais sobre um ciberataque, como o que foi acedido ou roubado, podem não estar corretas.
Imediatamente após um ciberataque, as empresas devem endereçar as seguintes questões para melhor diagnosticarem a extensão do problema:

– Quando e como o intruso ganhou acesso ao sistema?
– O intruso ainda está ativo? Se sim, como se pode conter e eliminar o ciberataque?
– Qual foi a informação que o hacker acedeu ou furtou?
– Para a informação acedida ou furtada, foram acionados os requisitos de notificação de violação de dados, como seja sobre informação pessoal, informação privada de saúde, ou informação sobre cartões de crédito?
– O hacker instalou alguma ferramenta que possa ter impacto na integridade da informação da empresa ou na possibilidade de aceder a essa informação?
– O hacker instalou algum ponto de acesso no sistema, que lhe permita voltar a entrar mais tarde?

Para endereçarem estas e outras questões, as empresas devem adotar as melhores práticas para se prepararem e responderem a um ciberataque.

Desde logo, muitas das grandes violações de dados ocorrem porque assuntos de rotina como malware, conexões suspeitas a endereços de IP externos e alertas de intrusão não foram adequadamente reportados à gestão dos sistemas de TI porque foram classificados como baixo risco. Para resolver este problema a empresa deverá usar um tracking system para avaliar incidentes de rotina e identificar pequenas falhas que ocorrem repetidamente.

Adicionalmente, quando ocorre um incidente de furto ou destruição de informação, deverão ser imediatamente endereçadas as questões legais e regulatórias. O departamento jurídico deverá estar envolvido na investigação para confirmar que é feita a identificação e gestão de todos os assuntos legais, regulatórios e de litigância.

Outra prática recomendável é ter duas equipas distintas para responder a um ciberataque. Uma equipa deverá estar focada na investigação das causas do ciberataque e a segunda equipa na resolução do problema. A segregação de funções entre as duas equipas ajudará a obter melhores resultados.

Os ciberataques são uma ameaça bem real para as organizações e é imperativo estas estarem preparadas para detetar, diagnosticar e mitigar os elevados danos patrimoniais e reputacionais que podem advir.