A MGM Resorts, uma das maiores empresas de jogo e hotelaria do mundo, desligou os seus sistemas a 11 de setembro de 2023, depois de detetar os impactos de um ataque cibernético – os hackers confirmaram mais tarde que tinham roubado informações pessoais dos clientes.
Prevê-se que o ataque custe US$ 100 milhões à empresa.
Parece que ninguém está a salvo das ameaças cibernéticas e das violações de dados – estão a surgir por todo o lado, mesmo que seguindo todos os protocolos de segurança existentes. E embora faça tudo o que pode, atualizando as palavras-passe e investindo na formação de funcionários, também é do seu interesse realizar exercícios de simulação para se preparar para quando ocorrer um incidente. Uma vez que não pode garantir 100% a segurança da sua empresa contra um ataque cibernético, qual é o impacto de mitigação que pode ter? Quanto dinheiro pode poupar por não haver fuga de informações pessoais dos utilizadores? Quanto tempo pode poupar por saber o que fazer antecipadamente, em vez de se esforçar à última da hora?
Este artigo irá explorar o que são exercícios de decisão (Tabletop Exercises), as suas vantagens e como os pode implementar na sua organização para fortalecer ainda mais as suas defesas cibernéticas.
O que são Exercícios de Decisão?
Os exercícios de decisão (TTX) são ferramentas de simulação utilizadas para testar e melhorar a capacidade de resposta de uma organização a situações de emergência. Muitas vezes, ocorrem sob a forma de discussões de grupo em ambientes controlados e informais, como salas de aula ou grandes salas de reuniões, onde são atribuídas funções aos principais membros da equipa (que podem variar das funções do dia-a-dia) e onde estes devem desempenhar as responsabilidades que lhes foram designadas. Os participantes são incentivados a trabalhar em colaboração através de cada cenário hipotético, analisando, discutindo e definindo estratégias de resposta com os seus colegas. O objetivo final do TTX é avaliar a capacidade da sua organização para detetar e responder a ataques cibernéticos para proteger melhor os seus funcionários, ambiente e clientes e manter a sua empresa segura.
4 Benefícios dos Exercícios de Decisão para os departamentos de IT
Os exercícios de decisão forçam as empresas a avaliar os seus processos e procedimentos atuais e a encontrar eventuais falhas (leia-se: áreas em que os atacantes se podem infiltrar). Isso faz com que priorizem o que precisa ser alterado nos seus protocolos de segurança cibernética, abordando problemas críticos antes que estes aumentem.
- Identificação de Riscos: A simulação de ameaças cibernéticas realistas permite às organizações identificar e avaliar potenciais riscos reais de IT num ambiente controlado. Ao fazê-lo, podem avaliar os seus protocolos de segurança atuais e identificar as vulnerabilidades — uma abordagem proativa às TI.
- Colaboração Eficaz: Quando ocorre um incidente cibernético, é importante que as equipas saibam como comunicar e colaborar eficazmente umas com as outras. O TTX oferece a oportunidade de colaboração multifuncional para permitir que departamentos de TI, jurídicos, comunicações e outros departamentos importantes trabalhem juntos e pratiquem respostas coordenadas. Quanto melhor puderem comunicar-se durante uma ameaça cibernética real.
- Treinamento e Desenvolvimento: Os exercícios de decisão proporcionam oportunidades de formação para os profissionais de IT testarem as suas competências (e aprenderem mais!) de forma prática. Esta exposição beneficiará os funcionários a longo prazo, uma vez que terão uma compreensão mais profunda das suas funções e de como responder (de forma técnica e não técnica) com confiança a incidentes cibernéticos. Para os líderes, isto é especialmente importante, uma vez que irão praticar a tomada de decisões rápidas e informadas sob pressão, melhorando as suas capacidades de tomada de decisão.
- Avaliação das Políticas: Muitas empresas deixam as suas políticas de cibersegurança ganhar pó. Passam muito tempo a criar estes protocolos, mas não fazem ideia da sua eficácia até ser detetada uma ameaça. Um TTX permite que as organizações testem as suas políticas para identificar quaisquer lacunas e fraquezas que possam ter—conduzindo a políticas mais fortes e refinadas que as podem proteger durante ameaças cibernéticas.
Como Planear um Exercício de Decisão para a Sua Organização
Embora a complexidade do exercício (por exemplo, a quantidade de pessoas envolvidas na simulação) e os objetivos definidos variem de organização para organização, o formato utilizado para garantir que os objetivos sejam atingidos permanecerá o mesmo em todos os setores.
Funções TTX
- Participantes: Participar ativamente na resolução da ameaça cibernética proposta. Devem ser incentivados a conversar e explicar o seu raciocínio por trás dos seus pensamentos e escolhas. As funções serão atribuídas com base nas funções atuais dentro da empresa (os engenheiros não vão fingir ser especialistas em comunicação de emergência).
- Facilitador: Controla o ritmo do exercício. Também supervisiona a adição de informações e dados à medida que a simulação se desenrola. Responsável por criar um debate entre os participantes.
- Observadores: Participam quando solicitados. Principalmente observando como o exercício se desenrola.
- Avaliador: Ajuda na avaliação pós-TTX do que correu bem e do que precisa de ser melhorado. Responsável pela identificação dos pontos fortes e fracos.
Fluxo TTX
- Introdução: O facilitador irá preparar o terreno para os participantes, delineando a finalidade do TTX, os objetivos a serem alcançados e quaisquer cenários ou condições específicas que serão simulados. Durante este tempo, também fornecerá uma visão geral das regras básicas (por exemplo, este é um exercício de simulação, não um incidente em tempo real).
- Preparar o cenário: Antes de mais, os cenários têm de ser suficientemente realistas para imitar potenciais ameaças cibernéticas do mundo real. O seu objetivo ao executar um TTX é simular o que os seus funcionários fariam no caso de ocorrer uma ameaça — prepare-os em conformidade! Ao criar um cenário, não tenha medo de desafiar os participantes! O objetivo é que eles pensem de forma crítica. Além disso, pode acrescentar informações adicionais à medida que a simulação avança para manter a dinâmica (tal como não terá todas as informações de uma só vez num evento real).
- Funções e responsabilidades: Atribua funções específicas aos participantes. As suas funções devem estar relacionadas (não precisa de ser a sua função exata) com o que fariam numa situação real de uma ameaça cibernética na sua empresa. Inclua todos os principais intervenientes relevantes (IT, segurança, jurídico, comunicações, liderança executiva) e defina claramente as suas funções e responsabilidades para que possam contribuir eficazmente para o exercício.
- Passar: Permita que os participantes comecem a envolver-se nos debates e no processo de tomada de decisões para lidar com o ciberataque teórico.
- Observações e atualizações a meio da simulação: Sinta-se à vontade para pedir aos participantes que partilhem os seus pensamentos ou proponham ações a serem tomadas em resposta ao evento simulado — isso deve ser muito prático. Como facilitador, pode injetar, conforme necessário, eventos ou informações que são importantes para a simulação (por exemplo, uma mudança no ambiente da organização ou na identidade do hacker). Certifique-se de que os participantes documentam as suas ações, lógica e decisões — isto será útil na análise pós-exercício.
- Análise: Uma vez concluído o exercício, dê aos participantes a oportunidade de refletir sobre a simulação. O que correu bem? O que não correu bem? Que áreas podem ser melhoradas? Cabe aos facilitadores orientar a discussão e destacar quaisquer observações ou lições adicionais aprendidas.
- Documente o TTX: Crie um documento de acompanhamento que avalie a eficácia do TTX, com base nos objetivos previamente definidos na etapa 1. Os tópicos abordados devem incluir: lições aprendidas, principais conclusões, recomendações (por exemplo, formação de funcionários), velocidade de resposta a incidentes, comunicação, coordenação e tomada de decisões.
- Artigos de Acompanhamento e Ação: Uma vez analisada a simulação, identifique as ações de acompanhamento e melhorias que precisam de ser feitas. Exemplos comuns incluem atualizações de políticas cibernéticas, ajustes do IRP e formação de funcionários. Certifique-se de que a sua organização aplica as lições aprendidas no TTX, acompanhe o que correu bem, o que não correu bem, o que foi aprendido e o que está a ser feito.
- Reveja regularmente: reveja e atualize os seus exercícios de decisão de IT regularmente para preparar melhor a sua equipa para responder a ameaças emergentes e mudanças tecnológicas.
Soluções de IT Proativas
A maior desvantagem das simulações de decisão de IT é exatamente isso, é uma simulação — não é real. Independentemente do que faça como facilitador para injetar informações ou definir o cenário, ninguém está a suar a pensar que vai perder o emprego por causa da simulação. Sinta-se à vontade para adicionar incentivos ou aumentar as apostas para aumentar a energia e a participação com recompensas ou presentes. Dito isto, é importante compreender e realçar o valor antecipadamente. Uma ameaça cibernética pode não estar a acontecer na realidade, mas um bom desempenho num cenário simulado melhorará o tempo de resposta e a confiança de um funcionário quando uma ameaça acontecer.
As organizações devem investir em respostas proativas de IT para proteger a sua infraestrutura de tecnologia da informação (um bom ponto de partida é executar um TTX uma vez por trimestre). As ameaças cibernéticas estão a acontecer com demasiada frequência para que não o façam. Os exercícios de decisão são um ótimo ponto de partida. Proporcionam ambientes controlados e colaborativos para testar e aperfeiçoar as estratégias de resposta a incidentes de IT. Ao adotar os exercícios de decisão para os departamentos de IT, as empresas estão a aumentar a confiança dos funcionários, a melhorar a colaboração em equipa, a minimizar o impacto de potenciais ameaças cibernéticas e a capacitar os seus utilizadores com soluções de IT melhores e mais seguras.
