Atualmente a Gestão de Incidentes de Segurança da Informação é um conceito muito difundido na norma ISO/IEC 27035, assim como em padrões, como por exemplo o PCI DSS, melhores práticas de Segurança da Informação e institutos de referência como CERT, NIST e SANS.

Quando falamos em Gestão de Incidentes de Segurança da Informação é muito importante entendermos a diferença entre Eventos, Eventos de Segurança da Informação e Incidentes de Segurança da Informação, como mostra a imagem abaixo.

Imagem 1 – Definição de Evento, Evento de SI e Incidente de SI

No ambiente organizacional ocorrem diversos Eventos, que de acordo com o NIST seria qualquer ocorrência visível na rede ou sistemas. Fazendo uma analogia podemos dizer que um Evento pode ser um usuário tentando efetuar um login na aplicação financeira pela rede interna da organização.

Em alguns casos esses Eventos fogem do padrão de comportamento e precisam ser analisados com mais cautela, nomeado como Eventos de Segurança da Informação, onde de acordo com a norma ISO/IEC 27035 é definido como uma identificação de uma ocorrência no sistema, serviço ou estado da rede, indicando uma possível falha de Segurança da Informação, política ou falha de controles, ou uma situação prévia desconhecida que pode ser relevante para a segurança. Assim analisando este conceito aquele usuário que tentou acessar o sistema financeiro se torna um Evento de SI, quando identificado mais de uma falha na tentativa de acesso ao sistema, em um curto espaço de tempo.

Nesta mesma norma é definido o Incidente de Segurança da Informação como um ou vários inesperados e indesejáveis Eventos de Segurança da Informação que possuem uma significante probabilidade de comprometer as operações de negócios e ameaçar a Segurança da Informação. Continuando com a nossa analogia podemos definir de fato que o Evento de SI se tornaria um Incidente de SI, quando analisado o mesmo foi possível identificar diversas tentativas de acesso ao sistema financeiro, em um curto espaço de tempo, da mesma origem e possivelmente vindo de um usuário que não possui acesso ao mesmo, caracterizando uma tentativa de acesso por força bruta.

Ciclo de Vida do Incidente de SI

Agora que entendemos a diferença entre Evento, Eventos de SI e Incidentes de SI, podemos entender o processo do Incidente de SI durante todo o seu Ciclo de Vida.

Podemos definir um Ciclo de Vida como uma série de estágios sequenciais que possuem uma evolução constante e cíclica. Baseado nisto o Ciclo de vida do Incidente de SI é dividido em fases (objetivos) e subfases (práticas). Sendo 5 objetivos (pontuados de 1 a 5), com 15 Práticas divididos por seus objetivos, que serão descritos abaixo.

Imagem 2 – Ciclo de Vida do Incidente de SI

Objetivo 1. Estabelecer Gestão de Incidentes de SI

• Prática 1.1 – Elaborar/Publicar Política de Resposta a Incidentes de SI
• Prática 1.2 – Estabelecer equipe para a Gestão de Incidente de SI

Objetivo 2. Detectar Eventos de SI

• Prática 2.1 Detectar e Reportar Eventos de SI
• Prática 2.2 Registrar o Evento de SI e Manter o histórico atualizado
• Prática 2.3 Coletar, Documentar e Preservar Evidências de Eventos de SI
• Prática 2.4 Analisar e Triar Eventos de SI

Objetivo 3. Declarar Incidente de SI

• Prática 3.1 Definir e manter um critério de declaração de Incidente de SI
• Prática 3.2 Analisar o Incidente de SI

Objetivo 4. Resposta a Incidente e Retorno à Normalidade

• Prática 4.1 Escalonar o Incidente de SI
• Prática 4.2 Responder aos Incidentes de SI
• Prática 4.3 Comunicar os Incidentes de SI
• Prática 4.4 Finalizar os Incidentes de SI

Objetivo 5. Estabelecer aprendizado Pós Incidente

• Prática 5.1 Revisar Incidente (Pós Inc.)
• Prática 5.2 Integrar com o processo de Gestão de Problemas
• Prática 5.3 Transformar Experiência em Estratégia

Em breve falaremos sobre cada um dos objetivos e suas práticas, assim como os principais desafios enfrentados durante a Gestão de Incidentes de Segurança da Informação.

Modalidades oferecidas pela IBLISS

Nós da IBLISS estamos preparados para ajudar a enfrentar os desafios na Gestão de Incidentes de SI, oferecendo os seguintes produtos:

• Análise de GAP e Maturidade dos processos de Gestão de Incidentes de Segurança da Informação
• Apoio consultivo para empresas que serão auditadas pelo PCI DSS (v3.0)
• Avaliações de ferramentas para Resposta a Incidentes de Segurança da Informação
• Definição de Métricas e Dashboard para Gestão de Incidentes de Segurança da Informação
• Desenvolvimento de Políticas e Normas de Gestão de Incidentes de Segurança da Informação
• Estruturação de equipe de Resposta a Incidente de Segurança da Informação (CSIRT)
• Outsourcing
• Treinamentos e Conscientização

Quer entender um pouco mais sobre Gestão de Incidentes de SI e como o mesmo pode apoiar sua empresa? Entre em contato conosco.