Estabelecimento de uma estrutura para aprendizado a partir dos incidentes - Guia do usuário do AWS Security Incident Response

Estabelecimento de uma estrutura para aprendizado a partir dos incidentes

A implementação de uma estrutura e de metodologia de lições aprendidas não apenas auxilia na melhoria das funcionalidades de resposta a incidentes, como também contribui para a prevenção da recorrência dos incidentes. Ao extrair lições de cada incidente, é possível evitar a reincidência dos mesmos erros, exposições ou configurações inadequadas, aprimorando a postura de segurança e minimizando o tempo dedicado na resolução de situações que poderiam ser prevenidas.

É importante implementar um framework de lições aprendidas que estabeleça e atinja, em alto nível, os seguintes pontos:

  • Quando um processo de lições aprendidas é realizado?

  • O que está envolvido no processo de lições aprendidas?

  • Como um processo de lições aprendidas é realizado?

  • Quem está envolvido no processo e como?

  • Como as áreas de melhoria serão identificadas?

  • De que maneira você garantirá que as melhorias sejam efetivamente monitoradas e implementadas?

Além dos resultados de alto nível listados, é fundamental assegurar que se formulem as questões adequadas para obter o maior valor possível (ou seja, informações que conduzam a melhorias concretas) a partir do processo. Considere estas perguntas para ajudar você a começar a promover discussões sobre lições aprendidas:

  • Como foi o incidente?

  • Quando o incidente foi identificado pela primeira vez?

  • Como ele foi identificado?

  • Que sistemas alertaram sobre a atividade?

  • Que sistemas, serviços e dados estiveram envolvidos?

  • O que ocorreu especificamente?

  • O que funcionou bem?

  • O que não funcionou bem?

  • Que processos ou procedimentos falharam ou não tiveram a escala ajustada para responder ao incidente?

  • O que pode ser melhorado nas seguintes áreas:

    • Pessoas

      • As pessoas que precisavam ser contatadas estavam realmente disponíveis e a lista de contatos estava atualizada?

      • As pessoas estavam perdendo treinamentos ou não tinham os recursos necessários para responder e investigar o incidente de forma eficaz?

      • Os recursos apropriados estavam prontos e disponíveis?

    • Processo

      • Os processos e procedimentos foram seguidos?

      • Os processos e procedimentos foram documentados e estavam disponíveis para esse (tipo de) incidente?

      • Havia processos e procedimentos necessários faltando?

      • Os respondedores conseguiram obter acesso oportuno às informações necessárias para responder ao problema?

    • Tecnologia

      • Os sistemas de alerta existentes identificaram e alertaram efetivamente sobre a atividade?

      • Os alertas existentes precisam ser aprimorados ou novos alertas precisam ser criados para esse (tipo de) incidente?

      • O conjunto de ferramentas existente permitiu a condução eficiente da investigação (pesquisa e análise) do incidente?

  • O que pode ser feito para ajudar a identificar esse (tipo de) incidente mais cedo?

  • O que pode ser feito para ajudar a evitar que esse (tipo de) incidente ocorra novamente?

  • Quem é o proprietário do plano de melhoria e como você testará se ele foi implementado?

  • Qual o prazo previsto para implementar e testar os controles, processos ou monitoramentos preventivos adicionais?

Esta lista não é exaustiva. No entanto, ela tem o propósito de servir como ponto de partida para a identificação das necessidades da organização e dos negócios, bem como para a análise dessas necessidades a fim de aprender com os incidentes da forma mais eficaz e promover a melhoria contínua da sua postura de segurança. O mais importante é começar incorporando as lições aprendidas como parte padrão do processo de resposta a incidentes, da documentação e das expectativas das partes interessadas.