Hora do show: uma visão geral sobre simulações de emergência

por Chris Stephen

Honestamente, eu não poderia pensar em uma maneira melhor de começar este artigo do que fazendo, no título, referência a uma das minhas falas favoritas do filme Guardiões da Galáxia (“It’s showtime, a-holes”), que eu também considero adequada ao conteúdo a ser discutido aqui. E o que vamos discutir? Falaremos de simulações de emergência (tabletop exercises).

Uma simulação de emergência é um treinamento de segurança envolvendo um incidente de segurança. O objetivo da atividade é ter um plano de ação, caso ocorra esse tipo de incidente, quebrando a “corrente” de pânico que surge por falta de preparo. Lembre-se do treinamento contra incêndio.

Antes, devemos discutir as regras do jogo e o que é necessário para jogar. A primeira coisa sobre a qual precisamos falar é o tipo de evento que será considerado. É um pedido de resgate para liberar acesso a um sistema? É roubo de dados? É uma violação da segurança física?

Depois de selecionar o tipo de evento, escolha as pessoas que participarão. São administradores de sistema? Profissionais de segurança experientes? Executivos? Do RH? Do Jurídico? Do Marketing? O nível de experiência do indivíduo determina a terminologia que será usada. E o nível de experiência do grupo deve ditar a profundidade do treinamento.

Agora que selecionamos evento e público, vamos “iluminar” os próximos passos. Primeiro, encontre alguma notícia para usar como referência durante o treinamento. Mostrar uma consequência real do que pode acontecer torna mais fácil a identificação com o exercício.

Digamos que você escolha um ransomware (malware que restringe o acesso ao sistema e exige algo em troca para desbloqueá-lo). Mostre histórias de pagamento de resgate, perda completa de dados e o impacto econômico para as empresas atingidas. Isso é especialmente importante para as pessoas do grupo que não têm conhecimento técnico porque pode ajudá-las a entender a gravidade do incidente.

A partir daí, você precisa documentar as melhores práticas da indústria. Como os outros respondem ao tipo de evento que você selecionou? Isso deve ser usado como uma referência, não como uma coisa do tipo “aqui está o que vamos fazer”. Lembre-se de que as simulações só são úteis se houver diálogo.

Após selecionar o evento, os recursos e o público, reserve um lugar em seu escritório (sala de reunião etc.) e tempo suficiente.  Antes de começar, certifique-se de que toda a documentação está impressa e cada assento tem caneta e papel, para que todos possam tomar notas. Além disso, procure ter na sala um quadro branco e notas adesivas (você vai entender o motivo em breve).

Quando todos estão presentes, eu gosto de apresentar cada pessoa e seu trabalho dentro da empresa. É extremamente importante que você saiba a função de cada um na companhia, para utilizar suas aptidões. Lembre-se de que o objetivo é estar pronto, caso haja um evento de segurança. Não há espaço para ego nesse tipo de reunião.

A partir desse momento, o que eu gosto de fazer é compartilhar com todos uma notícia sobre algum ataque. Eu gosto de ler a matéria substituindo o nome da empresa que está no texto pelo nome da empresa dos funcionários na sala (isso faz com que a experiência seja “pessoal”). Depois de concluir a leitura, gosto de colá-la no canto superior direito do quadro branco. Embaixo, eu escrevo que se trata de um “potencial desfecho”, mantendo esse possível resultado na mente das pessoas.

Depois disso, gosto de escrever no lado esquerdo do quadro branco o tipo do ataque (ransomware, por exemplo) e desenhar uma linha ligando o problema à notícia, mostrando o que acontece quando não se está preparado e que o propósito da simulação é ter um plano para impedir que isso aconteça.

O exercício é simples. Construa uma linha do tempo a partir do momento do ataque até um nível de normalidade. Um passo de cada vez: o ataque acontece, a área de TI é notificada, um membro faz X, outro membro faz Y. Use a documentação que você tem sobre as melhores práticas.

Use também as notas adesivas para representar as pessoas na sala e onde elas se encaixam. Se você tem pessoas que não estão na área de TI, ajude-as a definir seu próprio papel na reação ao evento. Por exemplo, se pessoas do RH estiverem presentes, trabalhe com elas para entender os aspectos de comunicação (como notificar os funcionários etc.).

No final do exercício, você terá um plano totalmente registrado (criado visualmente e depois transferido para um documento), que pode ser entregue a cada pessoa que compareceu ao treinamento. O objetivo final não é “render-se” a um ataque, mas estar preparado quando algum ocorrer.

Sobre o autor

Chris Stephen é Engenheiro de Vendas Sênior na Cylance. Ele tem mais de uma década de experiência na área de TI, onde é “pau para toda obra”. Teve uma startup onde projetava sistemas de gerenciamento para construções comerciais e residenciais, e trabalhou na Apple e para a indústria médica.

Seja o primeiro a comentar on "Hora do show: uma visão geral sobre simulações de emergência"

Faça um Comentário

Seu endereço de email não será mostrado.


*