Recentemente durante uma call com cliente que é analista de TI, ele fez a seguinte pergunta: “Qual a diferença entre um plano de resposta incidentes e um playbook de segurança que vocês tanto falam? Isso não é mesma coisa?”

A resposta: “não é a mesma coisa”.

O Plano de Resposta a Incidentes é algo que envolve diversas áreas da empresa e tem como objetivo coordenar ações envolvendo departamentos, incluindo TI, o jurídico, a área de compliance, comunicação e outras operações de negócio, em caso de problemas relacionados a segurança da informação.

Já um Playbook de resposta a incidentes, é um manual específico para lidar com eventos individuais de cibersegurança.

Imagine um evento de ransomware na rede, o playbook precisa responder perguntas como essas abaixo:

  • Como o incidente é detectado?
  • Após detectado qual o tempo para iniciar o primeiro procedimento?
  • Quem são as pessoas que irão executar os procedimentos?
  • Qual o primeiro procedimento que precisa ser executado?
  • Quais os demais procedimentos e em que ordem de prioridade precisam ser executados?
  • Qual o tempo para executar cada procedimento?
  • Se um procedimento não foi efetivo, qual o próximo procedimento a ser executado?
  • O que fazer depois do incidente ser resolvido?

Com um playbook claro a equipe se torna mais rápida eficiente em responder a um problema de cibersegurança.

Então o cliente perguntou: “Ok, mas então playbook é igual uma base de conhecimento?”

A resposta: “não é igual”.

A principal diferença é o playbook precisa ser validado e testado periodicamente. É claro que não dá para simular um ransomware na rede, mas os procedimentos do playbook precisam ser testados.
Cada procedimento precisa ser testado se realmente é efetivo e em quanto tempo será executado.

Se os procedimentos somente foram documentados, sem teste e validação, os procedimentos podem não ser realmente efetivos e a equipe não terá praticado o procedimento.

Nesse exemplo de incidente com ransomware, vai possibilitar que uma ameaça não se espalhe por toda a rede, ou que os problemas causados pelo evento sejam minimizados.

Alias criar um playbook para ransomware precisa ser uma prioridade, pois atualmente é a ameaça digital que mais afeta as empresas.

“Ok, então preciso criar um playbook para cada tipo de incidente?”

Resposta: “sim, precisa ser específico”.

Cada tipo de incidente de cibersegurança necessita de procedimentos específicos, por exemplo, um incidente de acesso em banco de dados, ataques na aplicação web, acesso indevido em servidor de arquivos, etc, precisam de procedimentos específicos e tempo de resposta específico.

“O que mais um playbook precisa ter?”

Resposta: “precisa ser colaborativo, onde líderes e equipes contribuem”.

Além disso, o playbook precisa ser “vivo”, ou seja, diferente de uma documentação técnica que na maioria das vezes é estática, o playbook precisa ser reavaliado e atualizado frequentemente. Por exemplo, caso um procedimento mudou, simplificou ou se tornou obsoleto, o playbook precisa estar atualizado com isso.

Existem playbook´s criados especificamente para ativos de tecnologia, como Oracle, Windows, Linux, por exemplo, que ajudam a estruturar um modelo e assim implementar os procedimentos específicos.

Esperamos esse post possa trazer alguns insights para sua equipe.

Bom trabalho!