Develop Incident Response Plans
O desenvolvimento de planos detalhados para resposta a incidentes de segurança é uma atividade crucial que visa preparar a organização para lidar eficientemente com incidentes de segurança cibernética.
Este processo envolve a criação de planos abrangentes que detalham as ações a serem tomadas em resposta a diferentes tipos de incidentes.
O plano deve incluir procedimentos específicos para detecção, análise, contenção, erradicação e recuperação de incidentes.
Além disso, deve abordar a comunicação interna e externa durante um incidente, assegurando que todas as partes interessadas sejam informadas de maneira oportuna e adequada.
O plano deve ser desenvolvido em colaboração com várias áreas da organização para garantir que todos os aspectos de segurança, operacionais e de negócios sejam considerados.
Documentar claramente os papéis e responsabilidades de cada membro da equipe de resposta é essencial para uma execução eficaz.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Risk Assessment | Realizar uma avaliação de riscos para identificar possíveis incidentes de segurança. | Dados de risco, análise de ameaças | Relatório de avaliação de riscos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Define Incident Scenarios | Definir cenários de incidentes que podem impactar a organização. | Relatório de avaliação de riscos | Lista de cenários de incidentes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Develop Response Procedures | Desenvolver procedimentos de resposta para cada cenário de incidente identificado. | Lista de cenários de incidentes | Procedimentos de resposta | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 4 | Assign Roles and Responsibilities | Atribuir papéis e responsabilidades para a equipe de resposta a incidentes. | Procedimentos de resposta | Documento de papéis e responsabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Response Plan | Documentar o plano de resposta a incidentes de forma detalhada e acessível. | Documento de papéis e responsabilidades | Plano de resposta a incidentes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Incident Scenarios
A identificação de cenários de incidentes de segurança é um processo essencial para preparar a organização para possíveis eventos adversos.
Este processo envolve a análise de ameaças e vulnerabilidades conhecidas, além de considerar as especificidades do ambiente de TI da organização.
Os cenários devem abranger uma ampla gama de incidentes potenciais, desde ataques cibernéticos e violações de dados até falhas sistêmicas e desastres naturais.
A identificação precisa desses cenários permite à organização desenvolver planos de resposta direcionados e eficazes.
A colaboração entre diferentes áreas da TI e do negócio é fundamental para garantir que todos os possíveis incidentes sejam considerados e que as respostas planejadas sejam adequadas e eficazes.
- PDCA focus: Plan
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Threat Landscape | Analisar o panorama de ameaças para identificar possíveis cenários de incidentes. | Dados de ameaças, inteligência de segurança | Relatório de análise de ameaças | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Identify Vulnerabilities | Identificar vulnerabilidades no ambiente de TI que possam ser exploradas. | Relatório de análise de ameaças | Lista de vulnerabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Define Incident Types | Definir os tipos de incidentes que a organização pode enfrentar. | Lista de vulnerabilidades | Lista de tipos de incidentes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Develop Incident Scenarios | Desenvolver cenários detalhados para cada tipo de incidente identificado. | Lista de tipos de incidentes | Cenários de incidentes | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Incident Scenarios | Documentar todos os cenários de incidentes de forma clara e acessível. | Cenários de incidentes | Documentação de cenários | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
Execute Incident Response
A execução das respostas a incidentes conforme planejado é fundamental para mitigar os impactos negativos de incidentes de segurança cibernética.
Este processo envolve a implementação dos procedimentos de resposta detalhados nos planos de resposta a incidentes.
As ações incluem a detecção, análise, contenção, erradicação e recuperação de incidentes, além da comunicação contínua com as partes interessadas internas e externas.
A coordenação eficiente entre as diversas áreas da organização é crucial para uma resposta rápida e eficaz.
O treinamento contínuo e simulações ajudam a equipe de resposta a estar preparada para executar os planos de maneira eficiente.
A execução eficaz da resposta a incidentes minimiza os danos, restaura rapidamente as operações normais e fortalece a postura de segurança da organização.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Detect Incident | Detectar o incidente de segurança utilizando ferramentas e técnicas de monitoramento. | Ferramentas de monitoramento | Notificação de incidente | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Analyze Incident | Analisar o incidente para determinar seu escopo e impacto. | Notificação de incidente | Relatório de análise de incidente | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Contain Incident | Conter o incidente para evitar sua propagação e minimizar o impacto. | Relatório de análise de incidente | Medidas de contenção implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Eradicate Incident | Erradicar a causa raiz do incidente e restaurar os sistemas afetados. | Medidas de contenção implementadas | Sistemas restaurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Recover Systems | Recuperar e restaurar as operações normais dos sistemas afetados pelo incidente. | Sistemas restaurados | Operações normalizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Incident Response Performance
O monitoramento contínuo do desempenho das respostas a incidentes é essencial para garantir a eficácia dos planos de resposta e identificar áreas de melhoria.
Este processo envolve a coleta e análise de dados sobre as respostas a incidentes, incluindo o tempo de resposta, a eficácia das ações tomadas e o impacto residual dos incidentes.
As métricas de desempenho são utilizadas para avaliar a capacidade de resposta da organização e para ajustar os planos de resposta conforme necessário.
O feedback contínuo é essencial para a melhoria contínua dos processos de resposta a incidentes.
Este processo também inclui a realização de auditorias e revisões pós-incidente para capturar lições aprendidas e implementar melhorias nos planos de resposta.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Incident Data | Coletar dados detalhados sobre cada incidente e a resposta realizada. | Relatórios de incidentes | Dados de incidentes coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Analyze Response Performance | Analisar o desempenho das respostas a incidentes utilizando métricas definidas. | Dados de incidentes coletados | Relatórios de desempenho | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Conduct Post-Incident Reviews | Realizar revisões pós-incidente para identificar lições aprendidas e áreas de melhoria. | Relatórios de desempenho | Relatórios de revisão pós-incidente | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Update Response Metrics | Atualizar as métricas de resposta com base nas revisões pós-incidente e novas informações. | Relatórios de revisão pós-incidente | Métricas atualizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 5 | Report Findings | Relatar as descobertas e recomendações de melhoria para a alta gestão e partes interessadas. | Métricas atualizadas | Relatórios de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
Review and Improve Response Plans
A revisão e melhoria contínua dos planos de resposta a incidentes é um processo essencial para assegurar que a organização esteja sempre preparada para lidar com novos desafios de segurança cibernética.
Este processo envolve a análise detalhada dos resultados do monitoramento e das revisões pós-incidente para identificar áreas de melhoria nos planos de resposta.
As lições aprendidas são integradas aos planos existentes para fortalecer a capacidade de resposta.
Além disso, o processo inclui a atualização dos procedimentos, a realização de treinamentos regulares e a validação dos planos através de simulações e exercícios.
A melhoria contínua dos planos de resposta garante que a organização esteja sempre em uma postura de prontidão, capaz de responder eficazmente a qualquer incidente de segurança.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Review Findings | Analisar as descobertas das revisões pós-incidente e monitoramento de desempenho. | Relatórios de revisão pós-incidente | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nos planos de resposta com base na análise das descobertas. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Response Procedures | Atualizar os procedimentos de resposta a incidentes para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Procedimentos atualizados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com os procedimentos atualizados. | Procedimentos atualizados | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Response Plans | Validar os planos de resposta através de simulações e exercícios para assegurar sua eficácia. | Procedimentos atualizados | Planos validados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |