Plano de Resposta a Incidentes de Segurança da Computação (CIRP)

CIRP

Você já viu por ai, a sigla "CIRP"? Possivelmente sim!

CIRP é a abreviatura de Computer Incident Response Plan (a tradução literal seria algo como "Plano de Resposta a Incidentes de Computação"). A denominação é antiga, e o significado da sigla sofreu pequenas modificações com o tempo, ficando, hoje, melhor especificada por aqui, como "Plano de resposta a Incidentes de Segurança da Informação", ou, não raro, "Plano de Resposta a Incidentes de Cibersegurança".

Mas que diferença existe entre estes três termos?

• Computação - Derivado do termo original, apontava para incidentes genéricos relacionados com a computação, seus sistemas, dispositivos, dados, etc.
• Cibersegurança - Muito afeito ao termo original, trata da segurança relacionada a atividades cibernéticas, ou seja, que tenham a ver com sistemas de controle automático (como computadores, celulares, dispositivos eletrônicos, sistemas, etc.). Veja que o termo é muito aplicável para nossas necessidades atuais.
• Segurança da Informação - Muito mais abrangente, a Segurança da Informação trata da proteção da informação, em si, e, transversalmente, de todos os meios pelos quais ela deva ser tratada.

Eu prefiro sempre apontar para o último, porque é o mais abrangente.

Se estiver confuso com os dois termos, sugiro uma olhada NESTE artigo, que escrevi, justamente, para facilitar a compreensão de ambos.

O que é um Plano de Resposta a Incidentes da Informação?

O CIRP é um documento que oficializa e regulamenta a forma e os passos a serem tomados quando a empresa sofre um incidente relacionado com a segurança da informação.

Porque fazer um CIRP?

Existem várias desculpas para não realizar um CIRP. As mais comuns são:

• Só empresas grandes precisam de um CIRP - Falso! - O fundamento do CIRP é reagir a incidentes de segurança. E todas as empresas estão sujeitas ao risco de sofrer incidentes de segurança. Portanto, mesmo empresas pequenas necessitam algum plano para responder em caso de incidentes.
• Um CIRP é caro - Falso! - O que realmente custa caro são as possíveis consequências de um incidente. É como comparar o seguro contra incêndios, com o valor do imóvel mais o risco de danos pessoais de quem estiver lá dentro. Realizar um CIRP pode, realmente, significar um investimento alto. Mas é, justamente, isto: um investimento! O tempo que a empresa fica parada após um incidente sempre deve ser levado em conta no momento de contratar ou desenvolver um CIRP.
• Ninguém vai ter interesse em invadir minha empresa - Falso! - Em primeiro lugar, todas as empresas, independentemente do tamanho, sofrem risco de invasão. Em segundo lugar, um CIRP não deve ser focado apenas em invasão, mas, sim, em qualquer tipo de risco de incidente de segurança (o que, realmente, é muito mais amplo).
• Para um CIRP, é necessário contar com profissionais altamente qualificados - Verdadeiro! - Nunca confie o desenho de seu CIRP a pessoas não qualificadas. Você não vai querer que gente não preparada desenhe a forma como sua empresa vai reagir a um desastre! A boa notícia é que você não precisa contratar, caso sua empresa não possua profissionais de Segurança da Informação suficientemente preparados para um CIRP. Basta com buscar empresas especializadas, que, juntamente com sua equipe, realizarão um CIRP com a qualidade necessária (no final do artigo, cito sugestão).

Sobrevivendo às desculpas, vamos aos motivos sérios que justificam, plenamente, a realização do seu CIRP:

• Boas Práticas - Todas (sim, TODAS) as normas, normativas, frameworks ou documentos que definem as boas práticas de Segurança da Informação para empresas, recomendam o CIRP. Adequar sua empresa às boas práticas de SegInfo é uma das formas mais baratas de manter compliance e diminuir o risco.
• LGPD - A Lei Geral de Proteção de Dados exige que, com o fim de dar adequado tratamento das informações pessoais, as empresas introduzam em seus processos, as medidas de segurança que correspondem às boas práticas de SegInfo (veja item anterior). Também, em caso de denúncia, a ANPD (Autoridade Nacional de Proteção de Dados), pode solicitar que a empresa demonstre sua preparação para a Segurança da Informação, inclusive, mostrando um Plano de Resposta para o caso de que os dados pessoais de titulares sejam expostos ou corram riscos de segurança.
• Continuidade do Negócio - Se você ainda não se convenceu, agora é o momento de pensar em quanto vale cada dia de funcionamento de sua empresa. Se a sua empresa sofrer um incidente de segurança grave, poderá necessitar interromper atividades (ou reduzi-las) até que o incidente seja solucionado. E cada dia, cada hora, pode significar um custo que pode ser significativo. A resposta ao incidente, quando realizada através de um plano bem elaborado, trata de direcionar a empresa para que a mesma possa ficar o mínimo de tempo sem operações, minimizando o impacto financeiro, e diminuindo os riscos secundários com imagem, perda de clientes, riscos de processos por indenizações, quebra de contratos com terceiros, entre tantos outros riscos.

Quem deve Fazer?

Já comentei que o CIRP não deve ser feito por pessoas despreparadas. Mas quem deve realiza-lo? Preferencialmente, um profissional de Segurança da Informação que tenha formação adequada para tal (se possível com uma certificação ou com um histórico que valide seu conhecimento). Deve ser um profissional preparado para a análise de riscos da empresa, para uma profunda verificação das capacidades e recursos da mesma em quanto à segurança da informação, e habituado com os diversos tipos de incidentes aos quais a empresa pode estar exposta.

A certificação não é indispensável, obviamente, mas a experiência com o tema sim. Procure profissionais que possam falar de experiência em CIRP, e com bom conhecimento em Riscos e Segurança da Informação. Se estiver pensando em certificações, procure por quem possua certificações CISSP, CISM, CISA, ISO270o01, ISO27701, ou qualquer certificação que aponte para a segurança da informação, tendo em conta a continuidade do negócio.

Se você não possui profissionais com tal qualificação, terceirize. Existem empresas altamente capacitadas que poderão auxiliar sua empresa no desenho de um CIRP (e dos eventuais documentos e medidas adicionais que venham a ser necessários).

Como Fazer?

O CIRP deve começar documentando os recursos da empresa, em todos os âmbitos (hardware, software, conectividade, segurança, e pessoal).

Em seguida, deve analisar os riscos aos quais a empresa está exposta, e os riscos futuros que poderão surgir.

Logo, definir os passos necessários para determinar uma deflagração de incidente, e o que se fará necessário para as diversas etapas correspondentes ao processo de resposta.

Finalmente, tudo deve estar preparado para ser periodicamente testado, e para sofrer revisões e alterações sempre que necessário.

Dá para Terceirizar?

Claro que sim! Já comentei antes, mas sempre vale a observação: Empresas que possam dispor de profissionais capacitados para a realização de um CIRP devem saber usufruir deste privilégio (são poucas, creia-me). Empresas que não possuam profissionais preparados para tal, devem buscar ajuda de fora.

Uma observação fundamental é que, mesmo terceirizando, um desenho sério de CIRP necessitará de estreita colaboração dos setores internos da empresa. Ninguém conhece melhor as dores da empresa que seus colaboradores. Então não espere que uma empresa lhe entregue uma receita de bolo, pronta, pré-concebida, e que, realmente, corresponda as suas necessidades. Se a oferta for esta, desconfie!

Um CIRP bem feito por terceiros sempre necessitará da colaboração da empresa, sempre tomará algum tempo para preparar, e sempre deve ser testado e discutido. Um CIRP não é só papel, é uma sequência de procedimentos que podem determinar a sobrevivência de sua empresa em um momento de extrema crise.

Podemos ajudar?

Este artigo tem como finalidade dar dicas sérias sobre o que é um CIRP, e como ele pode ser importante para a sua empresa.

Espero que tenha sido útil, e espero contar com seus comentários, compartilhamentos, etc.

A LGPD Ninja é uma empresa de consultoria (entre outras áreas de atuação), com profissionais altamente qualificados (CISSP, LGPD, ISO27701), com experiência em desenvolvimento de CIRP para empresas de todos os portes. Se você necessita ajuda nesta tarefa, entre em contato, que, com certeza, teremos alternativas válidas para sua empresa, ou para seu cliente.

Para mais informações, a LGPD Ninja é uma empresa que trabalha exclusivamente com LGPD e Segurança da Informação, desde o início da Lei, aqui no Brasil. Venha conhecer-nos e saber se podemos ajudar com algo na sua empresa ou carreira.

Também sugiro a leitura de nosso livro, o “LGPD Ninja, Entendendo e Implementando a LGPD nas empresas”, que está agora na sua segunda edição, sempre levando uma informação muito direta e prática para o leitor que deseja conhecer melhor a LGPD e a implementação da mesma.

Os links para ambas fontes de informação estão aqui abaixo, assim como para outros artigos que escrevi sobre o tema:

Meu perfil aqui no LinkedIn

LGPD Ninja

Livro LGPD Ninja - Segunda Edição

Artigos sobre a LGPD

Suas críticas, sugestões e observações serão sempre muito bem-vindas!

Grato pela sua leitura! 

É um privilégio saber que você leu esta humilde produção! Abraços!

Sérgio