# RESPOSTA A INCIDENTES _

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

O CSIRT (Computer Security Incident Response Team) funciona como um time responsável pelo monitoramento e resposta a possíveis incidentes de segurança. Ele desenvolve e cumpre juntamente a outros departamentos os procedimentos contidos no plano de resposta a incidentes. Para criar soluções efetivas, a SANS Institute desenvolveu um manual com 6 passos que direcionam ao seu desenvolvimento. As etapas que compõem o plano de resposta a incidentes!

Dessa maneira, para concluir cada uma dessas etapas de elaboração do plano de resposta a incidentes.

# PROCESS _

1 – PreparaçãoA preparação aborda como a equipe vai lidar com a ocorrência de um incidente. Isso inclui comunicação externa e interna, bem como documentação de incidentes. Para essa finalidade é fundamental ter uma política de segurança corporativa definida contendo diretrizes sobre quais os riscos a empresa está exposta e quais medidas preventivas devem ser tomadas.
2 – IdentificaçãoEsta etapa define os critérios que vão ativar o CSIRT. Por exemplo, quando um ataque de força bruta é detectado, imediatamente o plano de resposta a incidentes é acionado e a equipe entra em ação. Todo conjunto de atividade incomum deve ser tratado o mais rápido possível pelo time assim que identificado e os alertas emitidos.
3 – ContençãoHá dois tipos de contenção: curta e longa. A de curto prazo tem a característica de ser uma resposta imediata, a fim de impedir que o ataque cause danos. Já a contenção de longo prazo abrange o restabelecimento do sistema à sua produção normal após a neutralização dos backdoors e arquivos maliciosos que viabilizaram o ataque.
4 – ErradicaçãoEsta fase é fundamental para a continuidade dos negócios. Ela visa restaurar todos os sistemas corporativos afetados por um incidente de segurança. Isso se dá por meio da aplicação do plano de resposta a incidentes, removendo qualquer vestígio do ataque. A atualização constante dos sistemas e medidas corretivas são essenciais para evitar a repetição da mesma situação.
5 – RecuperaçãoA recuperação aborda como trazer todo o sistema a seu funcionamento padrão. Nesse momento é preciso fazer uma varredura para averiguar se não ouve perdas e como recuperar possíveis dados perdidos. Isso envolve cópias de segurança armazenadas em um sistema em nuvem para restabelecer todas as informações necessárias para o fluxo de trabalho.
6 – Lições aprendidasEsta fase aborda a documentação das ocorrências de incidentes e os procedimentos de resposta a eles. Dentro disso, a empresa consegue criar um material com o histórico de ocorrências contra a segurança e as devidas ações tomadas, tornando a organização mais preparada para lidar com transtornos futuros.
* Dessa maneira, para concluir cada uma dessas etapas de elaboração do plano de resposta a incidentes.