Análise de incidentes e identificação da causa principal

Nesta secção, aprofundamos os passos iniciais após um incidente de segurança, concentrando-nos em compreender o que aconteceu e porquê.

1. Registo detalhado do incidente: o primeiro passo para uma análise eficaz de incidentes implica a documentação meticulosa de todos os aspetos do incidente, incluindo o momento da deteção, a forma como a violação foi identificada, o tipo de ameaça, os sistemas afetados e a sequência de eventos. O registo detalhado fornece uma visão geral abrangente, essencial para compreender o âmbito e o impacte do incidente.
2. Recolha e preservação de provas: é crucial para a análise da causa principal. Este processo envolve a proteção de registos, instantâneos do sistema e outros dados relevantes antes de serem substituídos ou corrompidos. O tratamento adequado das provas garante a integridade da investigação e ajuda nos processos legais, se necessário.
3. Análise da Causa Raiz (RCA): a RCA é o processo de identificação das razões subjacentes ao incidente. Implica a análise da razão pela qual o incidente ocorreu e da forma como os agentes da ameaça obtiveram acesso. Técnicas como os cinco porquês, a análise da árvore de falhas ou os diagramas em espinha podem ajudar a identificar a causa principal. Compreendê-la é crucial para desenvolver estratégias de mitigação eficazes para evitar a recorrência.
4. Colaboração e comunicação: a análise de incidentes requer frequentemente a colaboração entre vários departamentos da organização, como o informático, de segurança, jurídico e recursos humanos. A comunicação aberta e a partilha de informações facilitam uma identificação mais precisa da causa principal e garantem uma abordagem conjunta para resolver os problemas subjacentes.
5. Lições aprendidas e partilha de conhecimentos: é importante partilhar as conclusões com os stakeholders relevantes. As sessões sobre as lições aprendidas ajudam a divulgar os conhecimentos adquiridos com o incidente e a implementar medidas corretivas em toda a organização. Este passo é vital para melhorar as estratégias de resposta a incidentes e as medidas de cibersegurança.

Figura- 7

(Fonte: https://www.linkedin.com/posts/jacojburger_rootcauseanalysis-troubleshooting-helpdesk-activity-7131190360109654016-3u56)