SEC10-BP01 Identificar equipes e recursos externos fundamentais

Identifique as equipes, as obrigações legais e os recursos internos e externos que ajudam sua organização a responder a um incidente.

Resultado desejado: você tem uma lista das principais equipes, as respectivas informações de contato e as funções que elas desempenham ao responder a um evento de segurança. Você revisa essas informações regularmente e as atualiza para refletir mudanças de equipes do ponto de vista das ferramentas internas e externas. Você considera todos os provedores de serviços e fornecedores terceirizados ao documentar essas informações, incluindo parceiros de segurança, provedores de nuvem e aplicações de software como serviço (SaaS). Durante um evento de segurança, as equipes estão preparadas com o nível apropriado de responsabilidade, contexto e acesso para resposta e recuperação. 

Antipadrões comuns:

• Não manter uma lista atualizada das principais equipes com informações de contato, funções e responsabilidades para responder a eventos de segurança.

• Supor que todos saibam quais são as pessoas, as dependências, a infraestrutura e as soluções necessárias para resposta a um evento e recuperação. 

• Não ter um documento ou repositório de conhecimentos que represente a infraestrutura principal ou o design da aplicação.

• Não ter processos de integração adequados para que novos funcionários contribuam eficazmente para uma resposta a eventos de segurança, como a realização de simulações de eventos.

• Não ter um caminho de encaminhamento estabelecido quando as equipes principais estão temporariamente indisponíveis ou não respondem durante eventos de segurança.

Benefícios do estabelecimento desta prática recomendada: esta prática reduz o tempo de triagem e resposta despendido na identificação das equipes certas e de suas funções durante um evento. Minimize o tempo perdido durante um evento mantendo uma lista atualizada das principais equipes e de suas funções para que você possa convocar as pessoas certas para a triagem e se recuperar de um evento.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: alto

Orientações para a implementação

Identifique as principais equipes da sua organização: mantenha uma lista de contatos das equipes da sua organização que você precisa envolver. Revise e atualize regularmente essas informações em caso de movimentação de equipes, como mudanças organizacionais, internas e promoções. Isso é especialmente importante para funções importantes, como gerentes de incidentes, respondentes a incidentes e líder de comunicação. 

• Gerente de incidentes: a pessoa que tem autoridade geral durante a resposta a um evento.

• Respondentes a incidentes: os responsáveis pelas atividades de investigação e correção. Essas pessoas podem diferir com base no tipo de evento, mas normalmente são desenvolvedores e equipes operacionais responsáveis pela aplicação afetada.

• Líder de comunicação: a pessoa responsável pelas comunicações internas e externas, especialmente com órgãos públicos, reguladores e clientes.

• Especialistas no assunto (SMEs): no caso de equipes distribuídas e autônomas, recomendamos que você identifique um SME para workloads essenciais. Eles oferecem insights sobre a operação e a classificação de dados das workloads críticas envolvidas no evento.

Considere a possibilidade de usar o recurso AWS Systems Manager para capturar os principais contatos, definir um plano de resposta, automatizar programações de plantão e criar planos de encaminhamento. Automatize e alterne toda a equipe por meio de uma programação de plantão, para que a responsabilidade pela workload seja compartilhada entre os respectivos responsáveis. Isso favorece boas práticas, como emitir métricas e logs relevantes, bem como definir limites de alarme importantes para a workload.

Identifique parceiros externos: as empresas usam ferramentas criadas por provedores de software independentes (ISVs), parceiros e subempreiteiros para criar soluções diferenciadas para os clientes. Envolva as principais equipes dessas partes que possam ajudar na resposta e recuperação de um incidente. Recomendamos que você se inscreva no nível apropriado do AWS Support para obter acesso imediato a especialistas da AWS por meio de um caso de suporte. Considere acordos semelhantes com todos os provedores de soluções essenciais para as workloads. Alguns eventos de segurança exigem que as empresas de capital aberto notifiquem os órgãos públicos e reguladores relevantes sobre o evento e os impactos. Mantenha e atualize as informações de contato dos departamentos relevantes e das pessoas responsáveis.

Etapas da implementação

1. Configure uma solução de gerenciamento de incidentes.

   1. Considere implantar o Incident Manager em sua conta de ferramentas de segurança.

2. Defina contatos em sua solução de gerenciamento de incidentes.

   1. Defina pelo menos dois tipos de canal de contato para cada contato (como SMS, telefone ou e-mail) para garantir a acessibilidade durante um incidente.

3. Defina um plano de resposta.

   1. Identifique os contatos mais adequados a serem mobilizados durante um incidente. Defina planos de encaminhamento alinhados às funções das equipes a serem mobilizadas, em vez de contatos individuais. Considere incluir contatos que possam ter a responsabilidade de informar entidades externas, mesmo que eles não sejam diretamente mobilizados para resolver o incidente.  

Recursos

Práticas recomendadas relacionadas:

• OPS02-BP03 Atividades de operações com proprietários identificados responsáveis pela performance

Documentos relacionados:

• AWS Security Incident Response Guide

Exemplos relacionados:

• AWS customer playbook framework

• Prepare for and respond to security incidents in your AWS environment

Ferramentas relacionadas:

• AWS Systems Manager Incident Manager

Vídeos relacionados:

• Amazon's approach to security during development