Entendendo e tratando incidentes de segurança
Saudações, viajante! Nesse post, trago um resumo sobre como podemos olhar para um incidente de segurança e qual sua definição prática. Enjoy! :)
Last updated
Saudações, viajante! Nesse post, trago um resumo sobre como podemos olhar para um incidente de segurança e qual sua definição prática. Enjoy! :)
Last updated
Gerenciar incidentes de segurança é fundamental para enriquecer as capacidades defensivas de uma organização. A definição de um incidente de segurança pode ser bem subjetiva, levando em conta que a termologia pode ser utilizada de forma distinta entre as organizações.
Embora já existam medidas de proteção que são constantemente implementadas nas empresas de modo geral, a capacidade de gerenciamento e tratamento de incidentes de segurança é essencial para que não haja o comprometimento da integridade, confidencialidade e/ou disponibilidade das informações. Essas capacidades podem ser implementadas internamente ou através de terceiros.
Um evento de segurança é uma ação ocorrida no sistema ou na rede. Podemos considerar como eventos:
Um e-mail enviado
Um clique de mouse
Um firewall permitindo uma conexão
Um incidente de segurança nada mais é do que um evento com consequências potencialmente negativas. Alguns exemplos de incidentes são:
Falha sistemática
Acesso indevido a dados sensíveis
Roubo de informações
Instalação e/ou utilização de softwares maliciosos
A capacidade de tratar incidentes de segurança consiste em um conjunto de procedimentos necessários para gerenciar e responder tais incidentes em um ativo ou em uma rede.
Incidentes de segurança de TI frequentemente envolvem a exposição de dados pessoais e corporativos, tornando essencial uma resposta ágil e eficiente. Em alguns casos, o impacto pode ser restrito a dispositivos específicos, enquanto em outros, uma ampla porção do ambiente pode ser comprometida. Ter uma equipe dedicada ao tratamento de incidentes, também conhecida como Equipe de Resposta a Incidentes (CSIRT), oferece a vantagem de uma abordagem sistemática, garantindo a tomada de decisões adequadas. O principal objetivo da Equipe de CSIRT é minimizar o roubo de informações e interrupções nos serviços provocados pelo incidente, alcançando isso por meio de investigações e etapas de correção, as quais exploraremos detalhadamente em breve. Em resumo, as decisões tomadas antes, durante e após um incidente terão impacto direto em suas consequências.
Dado que diferentes incidentes afetam a organização de maneiras diversas, é crucial compreender a importância da priorização. Incidentes mais graves demandam atenção imediata e a alocação de recursos adequados, enquanto incidentes de menor gravidade também podem requerer uma análise inicial para determinar se, de fato, se trata de um incidente de segurança de TI.
A equipe de tratamento de incidentes é liderada por um gerente de incidentes, geralmente ocupado por um gerente de SOC, CISO/CIO ou um fornecedor terceirizado confiável. Essa pessoa, frequentemente, possui a autoridade para solicitar a cooperação ágil de qualquer funcionário da organização, se necessário. O gerente de incidentes desempenha o papel de ponto central de comunicação, supervisionando todas as atividades realizadas durante a investigação e seu status de conclusão.
Um recurso amplamente utilizado no tratamento de incidentes é o , do NIST. Este documento tem como objetivo auxiliar as empresas na mitigação dos riscos relacionados a incidentes de segurança, oferecendo orientações práticas para uma resposta eficaz e eficiente a esses incidentes.
