Segurança da Informação - Incidentes

Incidente de segurança pode ser definido como qualquer evento não esperado, confirmado ou sob suspeita, podendo atingir pelo menos um dos princípios básicos de segurança da informação, ou seja, confidencialidade, integridade e disponibilidade.

Exemplos de incidentes:

Tentativas de ganhar acesso não autorizado a sistemas ou dados;
Ataques de negação de serviço;
Uso ou acesso não autorizado a um sistema;
Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio do dono do sistema;
Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de 

acesso


Algumas sugestões para responder a incidentes com êxito:

Minimizar o número e a gravidade dos incidentes de segurança.

• Estabelecer claramente e aplicar todas as diretivas e procedimentos.
• Obter o suporte da gerência a respeito das diretivas de segurança e do tratamento de incidentes.
• Avaliar regularmente as vulnerabilidades do seu ambiente.
• Verificar regularmente todos os sistemas de computadores e dispositivos de rede para garantir que todos eles tenham os patches mais recentes instalados.
• Estabelecer programas de treinamento em segurança para a equipe de TI e os usuários finais.
• Postar faixas de segurança que lembrem os usuários de suas responsabilidades e restrições, além de um aviso sobre a possibilidade de ações em caso de violação.
• Desenvolver, implementar e aplicar uma diretiva que exija senhas fortes.
• Monitorar e analisar regularmente o tráfego da rede e o desempenho do sistema.
• Verificar regularmente todos os logs e mecanismos de registro, inclusive logs de eventos do sistema operacional, logs de aplicativos específicos e logs do sistema de detecção de intrusões.
• Verificar seus procedimentos de backup e restauração.
• Criar uma CSIRT para lidar com incidentes de segurança.

Montar a base da CSIRT (equipe de resposta a incidentes de segurança em computadores).

• Monitorar os sistemas em busca de violações de segurança.
• Funcionar como um ponto central de comunicação, tanto para receber relatórios dos incidentes de segurança quanto para disseminar informações vitais a respeito do incidente para as entidades adequadas.
• Documentar e catalogar os incidentes de segurança.
• Promover a percepção da segurança dentro da empresa para ajudar a impedir que os incidentes ocorram em sua organização.
• Oferecer suporte à auditoria do sistema e da rede por meio de processos como, por exemplo, a avaliação da vulnerabilidade e o teste de penetração.
• Saber mais sobre novas vulnerabilidades e estratégias de ataque empregadas pelos invasores.
• Pesquisar novos patches de software.
• Analisar e desenvolver novas tecnologias para minimizar vulnerabilidades e riscos de segurança.
• Prestar serviços de consultoria em segurança.
• Refinar e atualizar sempre os sistemas e os procedimentos atuais.

Definir um plano de resposta a incidentes.

• Fazer uma avaliação inicial.
• Comunicar o incidente.
• Conter os danos e minimizar os riscos.
• Identificar o tipo e a gravidade do comprometimento.
• Proteger as evidências.
• Notificar órgãos externos, se apropriado.
• Recuperar sistemas.
• Compilar e organizar a documentação do incidente.
• Avaliar os danos e os custos do incidente.
• Examinar as políticas de resposta e atualização. 

Conter os danos e minimizar os riscos.

• Proteger a vida humana e a segurança das pessoas. 
• Proteger dados secretos e confidenciais. 
• Proteger outros dados, inclusive proprietários, científicos e administrativos. 
• Proteger o hardware e o software contra ataques.
• Minimizar a interrupção dos recursos computacionais (inclusive processos). 

O que é Segurança da informação. Disponível em: <http://www.tic.ufrj.br/index.php/o-que-sao-incidentes>. Acesso em 30 de Outubro de 2016.

Respondendo a incidentes de segurança de TI. Disponível em: <https://technet.microsoft.com/pt-br/Library/cc700825.aspx>. Acesso em 2 de Novembro de 2016.