Quando uma organização identifica que pode ter sofrido um incidente cibernético, a reação inicial muitas vezes define o sucesso ou o fracasso da resposta. As primeiras 24 horas são críticas.
É necessário ponderar antes de adotar medidas apressadas, como desligar servidores, formatar discos ou reinstalar sistemas, pois essas ações podem comprometer as evidências digitais. Embora bem-intencionadas e, em alguns casos, até imprescindíveis, essas medidas podem tornar difícil ou mesmo impossível apurar a origem, a autoria e a dinâmica do incidente em eventual processo administrativo, judicial ou arbitral.
Os procedimentos imediatos usualmente envolvem:
- Notificar equipe especializada: acionar de imediato o time interno ou parceiros com experiência em segurança digital, resposta a incidentes e investigação forense digital.
- Documentar cada passo: obter registros fotográficos e anotar hora, responsável e ação tomada, desde o primeiro momento.
- Isolar sem apagar: quando possível, retirar a máquina afetada da rede, sem desligá-la.
- Preservar artefatos: procurar preservar memória volátil, registros de sistema, logs e imagens de discos.
- Acionar o jurídico: junto à preservação técnica, envolver o jurídico ou a área de compliance para tratar das questões legais, de notificação e de mitigação de riscos.
A melhor prática é contar com um plano formal de resposta a incidentes (Incident Response Plan), previamente testado em exercícios de simulação (tabletop), de modo que a instituição não dependa de improviso.
Imagem: iStock.com/fizkes