O que fazer no caso de incidentes com dispositivos móveis na empresa?

O que fazer no caso de incidentes com dispositivos móveis na empresa?

Em alguns posts anteriores, publicamos dicas para ter em conta na hora de criar uma política de segurança para dispositivos móveis. No entanto, o que pode ocorrer quando as ferramentas de segurança não são suficientes e as infecções conseguem atingir aos celulares ou tablets corporativos? Quais ações devem ser tomadas? O processo de gestão no

Em alguns posts anteriores, publicamos dicas para ter em conta na hora de criar uma política de segurança para dispositivos móveis. No entanto, o que pode ocorrer quando as ferramentas de segurança não são suficientes e as infecções conseguem atingir aos celulares ou tablets corporativos? Quais ações devem ser tomadas? O processo de gestão no

contingencia-movil-empresa-623x426

Em alguns posts anteriores, publicamos dicas para ter em conta na hora de criar uma política de segurança para dispositivos móveis. No entanto, o que pode ocorrer quando as ferramentas de segurança não são suficientes e as infecções conseguem atingir aos celulares ou tablets corporativos? Quais ações devem ser tomadas?

O processo de gestão no caso de incidentes com dispositivos móveis implica em controlar e reduzir os prejuízos, preservar as provas, promover uma recuperação rápida e eficiente, prevenir eventualidades semelhantes no futuro e ganhar a compreensão dos riscos enfrentados pela empresa.

Para as empresas que estão começando a gerenciar sua segurança de dispositivos móveis, uma boa prática é iniciar com um modelo de processo simples para, em seguida, modificá-lo de acordo com as experiências que terão ao passar do tempo, considerando os recursos disponíveis, a quantidade de incidentes e a criticidade dos casos.

A seguir sugerimos quatro formas para conter e reduzir os efeitos de dispositivos móveis comprometidos.

 

#1 Registro do caso

É preciso contar com ferramentas que permitam rapidamente gerar um registro do caso, incluindo um identificador único, agregando algumas palavras-chaves que o descreva, a data no qual ocorreu e as características do equipamento danificado, tanto do hardware como dos aplicativos que estavam instalados na máquina.

 

#2 Prioridade ao caso

Depois de ter sido registrado, é necessário atribuir uma prioridade com base na criticidade que o caso tem com relação aos ativos de informações organizacionais e de desempenho normal da empresa.

Trata-se da exploração de vulnerabilidades, inconstâncias no acesso e autenticação, ou se está diante de uma infecção por malware? Em seguida, é necessário classificar o tipo de caso, sinalizando uma categoria (prioridade alta, média ou baixa) e um responsável para a solução do problema. Com certeza, o último passo nessa segunda etapa será a emissão do relatório referente a situação.

 

#3 Resolução do incidente

O terceiro passo consiste em resolver o incidente. Isso implica em realizar um processo cíclico de análises de dados, investigação sobre o ocorrido, criação de uma proposta como solução, remediação e recuperação.

Isso envolve o isolamento do dispositivo infectado, a identificação dos stakeholders, além de contactá-los para alertar ou reunir informações, descobrir como a infecção começou, coletar a amostra, determinar o que faz a ameaça, onde ele se conecta, entre outros dados. É preciso ter cuidado ao utilizar ferramentas de análises que podem gerar relatórios de maneira pública, já que o código da ameaça pode conter informações sensíveis sobre a empresa no caso de se tratar de um ataque dirigido.

O resultado desta atividade deve melhorar o relatório sobre o incidente que foi criado no momento do registro do evento, incluindo registros de domínios, arquivos de captura de tráfego da rede, registro de logcat e qualquer outra nova informação desenvolvida pela análise de contingência.

Essa etapa também inclui a desinfecção do equipamento, que pode chegar a ser realizada por meio de alguma ferramenta antimalware junto com uma solução MDM, ou trabalhando diretamente no sistema operativo, de acordo com o tipo de malware e a magnitude da infecção.

Cabe destacar que as soluções MDM não podem ser consideradas por si mesmas um mecanismo integral de defesa e, portanto, devem ser incluídas dentro de uma política de prevenção e redução que as combine com outras ferramentas orientadas especificamente para a detecção, bloqueio e remoção de ameaças.

 

#4 Etapa pós-análise

Para finalizar, destacamos que é preciso aprender com os erros cometidos ao longo do processo de gestão de incidentes, com o objetivo de melhorar o tempo de resposta e identificar quais novas ferramentas podem ser desenvolvidas ou adquiridas para otimizar a proteção dos equipamentos como resposta contra as situações que podem pôr em risco a segurança empresarial.

 

Autor: Denise Giusto Bilić, da ESET.

Adaptação: Francisco de Assis Camurça, da ESET.

Discussão