É essencial identificar as necessidades de segurança de uma organização a fim de empregar medidas que permitem evitar um sinistro como uma intrusão, uma avaria material ou mesmo uma inundação No entanto, é impossível afastar totalmente todos os riscos e qualquer empresa deve esperar um dia viver um sinistro. Neste tipo de caso, a velocidade de reacção é primordial porque um comprometimento implica pôr em perigo todo o sistema de informação da empresa. Além disso, quando o comprometimento provoca um disfuncionamento do serviço, uma paragem longa pode ser sinónimo de perdas financeiras. Por último, no caso, por exemplo de uma modificação de website (modificação das páginas), a reputação de toda a empresa está em jogo.
Fase de reacção
A fase de reacção é geralmente a fase mais neglicenciada nos projectos de segurança informática. Consiste em antecipar os acontecimentos e prever as medidas a tomar em caso de problema.
Com efeito, no caso de uma intrusão, por exemplo, é possível que o administrador do sistema reaja de acordo com um dos cenários seguintes:
- Obtenção do endereço do pirata e resposta;
- Extinção da alimentação da máquina;
- Desconexão da máquina da rede;
- Reinstalação do sistema.
Ora, cada uma destas acções pode potencialmente ser mais prejudicial (nomeadamente em termos de custos) que a própria intrusão . Com efeito, se o funcionamento da máquina comprometida for vital para o funcionamento do sistema de informação ou se se tratar do síte de uma empresa de vendas em linha, a indisponibilidade do serviço durante um longo período pode ser catastrófica.
Além disso, neste tipo de caso, é essencial constituir provas, em caso de inquérito judicial. No caso contrário, se a máquina comprometida servir de salto para um outro ataque, a responsabilidade da empresa arrisca-se a ser comprometida.
A instalação de um plano de retoma após sinistro permite assim evitar um agravamento do sinistro e assegurar-se que todas as medidas destinadas a estabelecer elementos de prova são aplicadas correctamente.
Além disso, um plano de sinistro correctamente criado define as responsabilidades de cada um e evita ordens e contraordens que fazem perder tempo.
Restauração
A retoma do sistema comprometido deve ser descrita detalhadamente no plano de retoma após sinistro e deve ter em conta os elementos seguintes:
- Fixação de datas da intrusão : o conhecimento da data aproximativa do comprometimento permite avaliar os riscos de intrusão sobre o resto da rede e o grau de comprometimento da máquina;
- Confinamento do comprometimento : trata-se de tomar as medidas necessárias de modo a que o comprometimento não se propague;
- Estratégia de salvaguarda: se a empresa possuir uma estratégia de salvaguarda, é aconselhável verificar as modificações trazidas aos dados do sistema comprometido em relação aos dados conhecidos como fiáveis. Com efeito, se os dados forem infectados por um vírus ou um Cavalo de tróia, a sua restauração corre o risco de contribuir para a propagação do sinistro;
- Constituição de provas: é necessário por razões legais salvaguardar os ficheiros diários do sistema corrompido a fim de poder restituí-lo em caso de inquérito judicial;
- Instalação de um síte de recesso: em vez de recuperar o sistema comprometido, é mais judicioso prever e activar em tempo útil um síte de recesso, permitindo assegurar uma continuidade do serviço.
Repetição do plano de sinistro
A repetição do plano de sinistro permite verificar o bom funcionamento do plano e permite igualmente a todos os actores implicados serem sensibilizados, assim como os exercícios de evacuação são indispensáveis nos planos de socorros contra os incêndios.
Última modificação do dia Domingo 27 de Setembro de 2009 às 22:52:39.
