Recuperação de desastre X planos de recuperação de segurança: por que você precisa de estratégias separadas
Responder a um incidente de segurança cibernética tem seus próprios objetivos exclusivos e requer seu próprio plano de recuperação.
Muitas empresas misturam seus planos de recuperação de desastres e recuperação de segurança em um pacote único, limpo e fácil de usar. Mas essa abordagem faz sentido?
Na verdade, não, diz os especialistas em recuperação de desastres e segurança, os planos de segurança e desastre estão relacionados, mas nem sempre são os mesmos.
Os objetivos em planos de recuperação de desastres e recuperação de segurança são inerentemente diferentes e, às vezes, em conflito, a diferença mais óbvia é que a recuperação de desastres é sobre continuidade do negócio, enquanto que a segurança da informação é sobre proteção de ativos de informações. O aspecto menos evidente é que a resposta ao incidente de segurança requer frequentemente análise detalhada da causa raiz, coleta de evidências, preservação e uma resposta coordenada e frequentemente furtiva.
Tais operações geralmente precisam ser tratadas de forma muito delicada. "Por outro lado, planos de continuidade de negócios são, por natureza, eventos muito públicos, exigindo todas as mãos no convés, comunicações de grande escala com o objetivo de retomada rápida e tática do negócio.
Para planos de recuperação de desastres, você quase se concentra primeiro na qualidade dos dados e, em segundo lugar, o processamento de negócios, para a segurança, você confia na capacidade de controle de proteção com menos consideração se você perdeu os dados anteriores - é muito mais importante "proteger para frente" em um plano de segurança.
Similar, ainda diferente
Muitas empresas combinam suas estratégias de desastre e segurança por uma questão de conveniência, atraídas pelas aparentes semelhanças superficiais dos planos. Em planos de alto nível, recuperação de desastres e segurança, ambos fazem atividades similares, inicialmente, ambos os planos terão procedimentos para minimizar o impacto de um evento, seguido de perto por procedimentos para se recuperar do evento e, finalmente, procedimentos para testar e retornar à produção. Ambos os tipos de planos também geralmente incluem um processo de "lições aprendidas" para minimizar a possibilidade de um evento semelhante ocorrer novamente.
No entanto, coçar a superfície revela que os planos de recuperação de desastres e segurança são realmente diferentes. "Os planos de recuperação de desastre estão focados na recuperação de operações de TI, enquanto os planos de segurança estão focados na prevenção ou limitação de interrupções de TI e na manutenção das operações de TI.
Um plano de recuperação de segurança é projetado para parar, aprender e, em seguida, corrigir o incidente, um plano de recuperação de desastres pode seguir etapas semelhantes, mas a nomenclatura provavelmente não usaria 'detecção' para descrever um evento de incêndio ou inundação, nem haveria muito na análise analítica, além disso, não há muitos desastres que exigem a coleta de provas.
Outro risco na fusão de planos é a possibilidade de obter atenção pública indesejada. Por exemplo, invocar um plano de recuperação de desastres muitas vezes exige notificações em larga escala para os principais interessados, no entanto, esta é a última coisa que você deseja durante uma questão que exige investigação, como uma violação de uma rede suspeita, devido à necessidade de coletar e preservar a integridade de evidências eletrônicas altamente voláteis.
A combinação de regras e procedimentos complexos de segurança e recuperação de desastres também pode resultar na criação de um documento desnecessariamente volumoso, ambíguo e as vezes contraditório. Se você tentar combinar processos e recursos em um único plano, ele pode confundir as águas, simplificar excessivamente ou complicar demais o processo, embora alguns processos de recuperação de desastres e segurança possam ser semelhantes, como classificar o impacto geral de um incidente, outros processos não são tão fáceis de combinar, além disso, é provável que você tenha recursos diferentes, de modo que o treinamento e o teste são complicados, assim como atualizações do plano após o fato.
Incêndios, tempestades, apagões e outros eventos físicos são imprevisíveis, mas sua natureza geralmente é bem compreendida. As ameaças à segurança, por outro lado, são ambas imprevisíveis e, dada a rápida evolução da natureza da cibercriminalidade, também não são bem compreendidas. Isso significa que as estratégias de recuperação de segurança devem ser revisadas e atualizadas com mais frequência do que suas contrapartes de recuperação de desastres.
Um plano de recuperação de segurança é, sem dúvida, mais difícil de manter-se atualizado do que um plano de recuperação de desastres, novas ameaças cibernéticas externas surgem semanalmente. A lista de catástrofes artificiais ou naturais que poderiam ameaçar um negócio, no entanto, é relativamente estática, mesmo quando um negócio se expande geograficamente, o número de novos desastres antecipados é limitado.
A resposta a um desastre deve ser imediata, mas a resposta a um evento cibernético deve ser ainda mais rápida. Esta realidade de resposta é ampliada porque uma empresa pode ter aviso de um desastre pendente, como um tornado, inundação ou terremoto, mas não tem prévio aviso de um ataque cibernético.
A natureza das ameaças nos planos de recuperação de segurança é mais dinâmica do que na recuperação de desastres e, portanto, exige uma revisão e atualização contínua, por exemplo, os recentes ataques de ransomware, como o WannaCry, são incrivelmente destrutivos e exigem planos de recuperação de segurança para examinar como responder efetivamente a novas ameaças e riscos.
O processo de descoberta é o aspecto mais importante do planejamento de segurança da informação e desastre. Os planos devem ser adaptáveis e os principais líderes devem entender o que os planos estão tentando alcançar para garantir o máximo de sucesso.
Fazendo um esforço em equipe
Embora a maioria dos especialistas defenda a criação e a manutenção de planos separados de recuperação de desastres e segurança, eles também observam que ambas as estratégias devem ser periodicamente examinadas para possíveis lacunas e conflitos. O melhor curso de ação para que os planos se complementem é garantir que você tenha a mesma equipe trabalhando com ambos, não só eles serão mais fortes e se complementarão, mas também serão mais efetivos e resilientes no longo prazo.
Mas está tudo bem, ter equipes separadas responsáveis por planos de segurança e desastres, desde que regularmente coordenem suas estratégias e objetivos uns com os outros. Cada equipe, seja apoiando segurança ou recuperação de TI, precisa gerenciar seus próprios requisitos de planos específicos, no entanto, a supervisão e a governança devem ser centralizadas para garantir que os eventos serão suportados usando a mesma metodologia, como comunicações para equipes executivas, empresas interessadas e clientes.
Se o planejamento é gerenciado por uma ou duas equipes, as pessoas certas precisam ser trazidas a bordo, uma gerência sênior desempenha um papel crítico e deve supervisionar a operação.
O CIO, o CISO e os administradores de rede serão membros integrantes de ambas as equipes, no entanto, muitos membros da equipe de recuperação de desastres não terão envolvimento, ou apenas limitado, no trabalho do grupo de segurança e vice-versa. Por exemplo: os gerentes de instalações são membros críticos de uma equipe de recuperação de desastres, mas geralmente não são necessários no grupo de segurança, a menos que haja uma perda física ou roubo de dados tangíveis / impressos de um escritório.
As equipes de operações e segurança devem rever os planos uns dos outros de forma controlada e construtiva para determinar como eles podem ser alavancados em apoio uns dos outros, essas políticas não devem ser desenvolvidas nas ilhas e, se possível, ser testadas em conjunto. Isso ajuda a lidar com casos extremos, mantendo a separação dos requisitos de serviço e a construção de sinergias da equipe.
Lições aprendidas
À medida que as empresas aprendem o que funciona e o que não funciona no planejamento de recuperação de segurança e desastre, um número crescente agora percebe que a recuperação de segurança não é recuperação de desastres e que cada uma tem necessidades muito diferentes.
À medida que as organizações amadurecem, eles aprendem que o objetivo da resposta ao incidente de segurança é muito mais matizado do que apenas uma restauração de negócios e que muitas das funções tipicamente invocadas em recuperação de desastres para fins de continuidade de negócios não são aplicáveis a eventos de segurança cibernética ou em alguns casos, prejudiciais à resposta ao incidente de segurança e ao forense.
A chave para ter planos bem-sucedidos de segurança e recuperação de desastres é documentar, gerenciar, testar planos e desenvolver uma metodologia comum de governança, comunicação e escalação, esta abordagem unificada minimizará a confusão e diminuirá o tempo para se recuperar dos eventos.
