Como responder a um incidente

Nesta postagem, elaborei um infográfico para demonstrar algumas fases genéricas de resposta a incidente de segurança da informação.

Um incidente de segurança da informação é uma violação ou ameaça iminente de violação da política de segurança computacional, política de uso aceitável ou práticas padrões de segurança. (NIST)

Empresas bem preparadas devem possuir planos de como deverão reagir quando um incidente acontecer. Ter os planos antecipadamente e saber quando usa-los será um diferencial durante o incidente, pois existirá um parâmetro se as coisas irão piorar ou melhorar.

Já fiz alguma postagens sobre gestão de incidentes aqui no blog que valem uma leitura complementar.

Política de Resposta a Incidentes

A Política de Resposta a Incidentes (PRI) define as ações que serão tomadas pela empresa durante o incidente de segurança. Nela, estão descritos vários detalhes, mas alguns são importantes:

  • Quem vai determinar quando e se o incidente de segurança está ocorrendo;
  • Quais indivíduos e/ou departamentos devem ser notificados;
  • Os meios que serão notificados;
  • Quem será responsável por responder ao incidente;
  • Define as orientações das respostas;
  • O que o administrador de sistemas será responsável por fazer em um evento de incidente;

Cada empresa envolve pessoas e ativos diferentes durante uma resposta a incidente, dependendo da sua criticidade. Vários departamentos podem trabalhar em conjunto (tecnologia da informação, segurança corporativa, recursos humanos, etc.). A intenção é sempre ter as pessoas certas a fim de lidar com o situação de forma correta. As pessoas que estarão envolvida saberão dizer as informações necessárias e para as pessoas corretas no momento do incidente.

Fases de uma Resposta a Incidente

Abaixo veremos algumas fases genéricas de resposta a incidente, o que pode variar de empresa para empresa de acordo com as suas necessidades. Algumas empresas atendem a demanda regulatória, o qual pode exigir algo mais específico para a organização.

Clique no infográfico para visualizá-lo grande.

Infográfico - Resposta à incidente

Equipe de Resposta a Incidente

Grandes empresas costumam possuir uma equipe conhecida por tratar os incidentes. Ela é integrada por pessoas qualificadas e com experiência para coletar e preservar as evidências de um crime e seus componentes associados no processo de resposta.

Um componente importante são os indivíduos do início para responder o incidente quando ele é reportado. Normalmente são:

  • Pessoal de TI
  • Recursos Humanos
  • Relações públicas
  • Security Officers
  • Chief Security Officer

O objetivo da resposta de segurança é ter uma equipe consciente de como lidar com incidentes de segurança. Esses membros vão saber o que fazer e como fazer em caso de um incidente. 

Plano de Resposta a Incidente

Uma vez que um incidente de segurança foi reconhecida e declarada, é vital que a equipe tenha um plano para seguir. Este plano irá incluir todos os passos e detalhes necessários para investigar o crime da forma necessária.

Alguns dos elementos necessários para investigar um crime de segurança são os seguintes:

  • Se um PRI existe e é relevante, siga o processo descrito neste plano;
  • Se um PRI não existe, está desatualizada ou é irrelevante, então designar um líder para o processo para que haja uma resposta coordenada;
  • Examinar e avaliar a natureza dos eventos que ocorreram e, tanto quanto possível, determinar os danos que foram efetuados nos sistemas, serviços e outros itens envolvidos;
  • Documentar e identificar todos os componentes envolvidos no incidente de forma mais completa possível;
  • Realizar uma análise completa para determinar as diferentes prioridades de risco para todos sistemas, serviços e outros processos envolvidos;
  • Avaliar a necessidade de um consultor externo;
  • Determinar a necessidade de envolver a justiça;
  • Determinar como conter a cena do crime, incluindo o hardware, software e outros artefatos presentes;
  • Montar um procedimento para entrevistar as pessoas as quais possam ter um conhecimento a mais ou outras informações para compartilhar que sejam benéficas para a investigação;
  • Escolher uma forma de report para o crime e quem deve receber o report, assim como as agências regulatórias.

Referência: Certified Ethical Hacker version 9: Study Guide. Sybex. 2016.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.