[Segurança] Documentando fluxos de trabalho para resposta a incidentes

Ao estabelecer uma estratégia e um time de resposta a incidentes, um dos passos mais relevantes é criar e documentar os processos do dia-a-dia. Isto é importante pois, uma vez documentados os processos operacionais, os funcionários tem um guia passo-a-passo para realizar as suas tarefas, algo que ajuda muito a diminuir as possibilidades de erro humano (que muitas vezes acontecem quando as pessoas não desempenham a tarefa corretamente, por esquecer de fazer algo necessário). Isto também é útil para garantir que a mesma qualidade do serviço vai ser atingida por novos funcionários, pois estes tem um processo documentado a ser seguido.

Mas esse esforço de criar e documentar processos não é uma tarefa fácil, o desenho de um processo não surge do nada! Dependemos de uma pessoa (geralmente um profissional do time com experiência ou um consultor externo) para desenhar os processos e, principalmente, garantir que sejam adequados ao dia-a-dia e necessidades específicos da empresa. O esforço começa, invariavelmente, pesquisando templates e boas práticas de mercado, que serão avaliadas, entendidas e, em seguida, combinadas e adaptadas a nossa realidade.

Por isso eu tive uma surpresa ao encontrar um documento da empresa Swimlane que discute "8 casos reais de Orquestração, Automação e Resposta de Segurança" que mostra diagramas descrevendo diversos fluxos de trabalho do time de resposta a incidentes.

Por exemplo, o que você faria se reportassem um e-mail suspeito?

Ou então, o que você faria ao receber um alerta do seu SIEM?

Os diagramas são de alto nível, não entram no detalhe das tarefas, mas são interessantes para ajudar a revisar seus processos de tratamento e resposta a incidentes dos times de SOC e CSIRT.