# Estabelecimento de uma estrutura para aprendizado a partir dos incidentes A implementação de uma estrutura e de metodologia de *lições aprendidas* não apenas auxilia na melhoria das funcionalidades de resposta a incidentes, como também contribui para a prevenção da recorrência dos incidentes. Ao extrair lições de cada incidente, é possível evitar a reincidência dos mesmos erros, exposições ou configurações inadequadas, aprimorando a postura de segurança e minimizando o tempo dedicado na resolução de situações que poderiam ser prevenidas. É importante implementar um framework de lições aprendidas que estabeleça e atinja, em alto nível, os seguintes pontos: + Quando um processo de lições aprendidas é realizado? + O que está envolvido no processo de lições aprendidas? + Como um processo de lições aprendidas é realizado? + Quem está envolvido no processo e como? + Como as áreas de melhoria serão identificadas? + De que maneira você garantirá que as melhorias sejam efetivamente monitoradas e implementadas? Além dos resultados de alto nível listados, é fundamental assegurar que se formulem as questões adequadas para obter o maior valor possível (ou seja, informações que conduzam a melhorias concretas) a partir do processo. Considere estas perguntas para ajudar você a começar a promover discussões sobre lições aprendidas: + Como foi o incidente? + Quando o incidente foi identificado pela primeira vez? + Como ele foi identificado? + Que sistemas alertaram sobre a atividade? + Que sistemas, serviços e dados estiveram envolvidos? + O que ocorreu especificamente? + O que funcionou bem? + O que não funcionou bem? + Que processos ou procedimentos falharam ou não tiveram a escala ajustada para responder ao incidente? + O que pode ser melhorado nas seguintes áreas: + **Pessoas** + As pessoas que precisavam ser contatadas estavam realmente disponíveis e a lista de contatos estava atualizada? + As pessoas estavam perdendo treinamentos ou não tinham os recursos necessários para responder e investigar o incidente de forma eficaz? + Os recursos apropriados estavam prontos e disponíveis? + **Processo** + Os processos e procedimentos foram seguidos? + Os processos e procedimentos foram documentados e estavam disponíveis para esse (tipo de) incidente? + Havia processos e procedimentos necessários faltando? + Os respondedores conseguiram obter acesso oportuno às informações necessárias para responder ao problema? + **Tecnologia** + Os sistemas de alerta existentes identificaram e alertaram efetivamente sobre a atividade? + Os alertas existentes precisam ser aprimorados ou novos alertas precisam ser criados para esse (tipo de) incidente? + O conjunto de ferramentas existente permitiu a condução eficiente da investigação (pesquisa e análise) do incidente? + O que pode ser feito para ajudar a identificar esse (tipo de) incidente mais cedo? + O que pode ser feito para ajudar a evitar que esse (tipo de) incidente ocorra novamente? + Quem é o proprietário do plano de melhoria e como você testará se ele foi implementado? + Qual o prazo previsto para implementar e testar os controles, processos ou monitoramentos preventivos adicionais? Esta lista não é exaustiva. No entanto, ela tem o propósito de servir como ponto de partida para a identificação das necessidades da organização e dos negócios, bem como para a análise dessas necessidades a fim de aprender com os incidentes da forma mais eficaz e promover a melhoria contínua da sua postura de segurança. O mais importante é começar incorporando as lições aprendidas como parte padrão do processo de resposta a incidentes, da documentação e das expectativas das partes interessadas.