A pesquisa Breach Level Index revelou que 1.673 violações de dados levaram a 707 milhões de registros de dados comprometidos em todo o mundo em 2015. Números como estes confirmam como as ameaças cibernéticas são um problema, assim como demonstram que um único ataque tem potencial para afetar milhares (talvez milhões) de pessoas, dependendo do tamanho do banco de dados atacado.
Ao considerar esse cenário, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas em seu tratamento. Dessa forma, os 5 passos fundamentais na resposta a um incidente de segurança são:
1º Detecção: coleta e análise, em tempo real, dos milhares de logs de segurança gerados pelos ativos da rede para detectar atividades maliciosas ou suspeitas.
2º Triagem: nessa etapa é avaliado cada alerta para verificar a existência de um incidente que exige uma resposta imediata ou se estamos diantes de um falso-positivo.
3º Contenção: uma vez que um incidente é detectado, ações de contenção devem ser tomadas para evitar que ele tome maiores proporções. No entanto, é importante lembrar que trata-se de uma solução temporária.
4º Investigação: após o ataque ser contido, é imprescindìvel entender como ele aconteceu para compreender a extensão do problema e tomar as ações corretivas definitivas.
5º Erradicação: é a etapa que resolve o problema de forma definitiva. Pode ser que exija atividades mais amplas, como reconfiguração de ativos, por exemplo, mas é fundamental. Enquanto a Contenção é o passo emergencial, a Erradicação é o passo para eliminar suas causas-raiz.
