Dicas práticas para estruturar a gestão de incidentes de Segurança da Informação na sua organização
Caros colegas,
como sabemos, as políticas de segurança da informação e controles propostos por um Sistema de Gestão da Segurança da Informação (S.G.S.I) mitigam riscos relacionados a segurança mas não garantem a proteção total das informações, sistemas e demais serviços de TI.
Em menor ou maior escala, as vulnerabilidades residuais existem e podem tornar ineficaz a proteção à informação. Além disso, é inevitável que novas instâncias de ameaças anteriormente não identificadas ocorram.
Baseados nestes fatos, só podemos concluir algo: é preciso manter um processo interno de gestão de incidentes para serviços de TI com foco específico em #Segurança da Informação.
A seguir, algumas dicas para contextualizar o processo em sua organização, com base em normas da família ISO 27000.
Para este artigo, vamos considerar como foco a segurança relacionada a aspectos de tecnologia da informação, combinado?
Estrutura do artigo:
- Incidentes de segurança da informação ( Overview )
- Objetivos do processo
- Equipe de Resposta a Incidentes
- Ciclo de vida do incidente de segurança - atividades do processo
- Considerações finais
- Referências
1) Incidentes de segurança da informação
Segundo CERT.br, um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado a segurança de sistemas de computação ou de #Redes de Computadores.
Em geral, qualquer situação em que um ou mais ativos da informação está(ão) sob risco, é considerado um incidente de segurança.
Veja mais sobre: Incidentes de Segurança da Informação: conceito, exemplos e cases.
2) Objetivos do processo
Quem conhece a gestão de incidentes da ITIL, vai provavelmente familiarizar-se com os objetivos descritos a seguir. Vale observar, entretanto, que o foco em incidentes de segurança torna o processo mais específico e elaborado. Característica que fica ainda mais clara no item 4 deste artigo (atividades do processo).
Outro diferenciador em comparação à gestão de incidentes tradicional é o fato deste processo incorporar parte das atividades que seriam de responsabilidade da gestão de eventos em gerenciamento de serviços de TI , uma vez que o próprio conceito (conforme apresentado no item 1) define como incidente " qualquer evento adverso, confirmado ou sob suspeita ."
São objetivos da gestão de incidentes de SI:
a) Garantir a detecção de eventos e tratamento adequado, sobretudo na categorização destes como incidentes de segurança da informação ou não.b) Garantir que incidentes de segurança da informação são identificados, avaliados e respondidos de maneira mais adequada possível.
c) Minimizar os efeitos adversos de incidentes de segurança da informação (tratando-os o mais brevemente possível).
d) Reportar as vulnerabilidades de segurança da informação, além de tratá-las adequadamente.
e) Ajudar a prevenir futuras ocorrências, através da manutenção de uma base de lições aprendidas (algo parecido com a base dados de erros conhecidos).
3) Equipe de Resposta a Incidentes
Equipe de membros devidamente qualificados que lida com incidentes durante o seu ciclo de vida (ver item 4 deste artigo sobre o conceito de ciclo de vida).Pode ser abordado como um subgrupo de gestão de incidentes com expertise em segurança da informação. Pessoas podem assumir funções em tempo integral ou parcial para o tratamento de incidentes de segurança. São denominadas CSIRTs (Computer Security Incident Response Teams).
Para mais informações sobre estas equipes, consulte:
- Sua organização precisa de um CSIRT?
- Criando um Grupo de Respostas a Incidentes de Segurança em Computadores
4) Ciclo de vida do incidete de segurança - atividades do processo
Atividade 01 - Planejamento do Processo
Cuidar de incidentes "cotidianos" tais como problemas em desktops e erros de aplicação já não é tarefa simples. Tratando-se de incidentes de segurança da informação, então, a primeira coisa que imaginamos é que devem existir tarefas mais complexas que tratarão casos que não ocorrem a todo momento.
O que eu afirmei no parágrafo anterior foi só para alertar sobre a necessidade de um planejamento e preparação adequada para um eficiente e eficaz tratamento dos incidentes de segurança.
Se você nunca trabalhou ou leu sobre este processo, pode ser que se surpreenda com alguns instrumentos básicos que são necessários para que incidentes se segurança sejam sanados rapidamente. Vejamos:
- Política de gestão de incidentes de segurança da informação, sem esquecer do bom e velho comprometimento da alta direção
- Políticas de #Gestão de Riscos atualizadas, sobretudo para aqueles que envolvem tecnologia (lembrando que este artigo está focando no processo de gestão de incidentes de SI dentro do escopo de TI)
- Fluxo de incidentes de segurança da informação
- Estabelecimento da equipe de resposta a incidentes
- Planejamento e capacitação da equipe de suporte técnico especializada
- Conscientização da equipe em relação a sensibilidade envolvida com o gerenciamento de incidentes de segurança da informação
- Ferramentas de #Testes e monitoramento
- Ferramenta de registro dos incidentes e eventos
- Entre outros
Atividade 02- Detecção e comunicação
Envolve a detecção (normalmente com a ajuda de ferramentas de automação), coleta de informações associadas e relatórios sobre ocorrências de segurança da informação, vulnerabilidades de segurança que não foram antes exploradas, assim como os incidentes propriamente ditos, sejam eles provocados de forma intencional ou não intencional.Resumindo, lembre-se que de maneira simplificada os objetivos desta atividade são detectar ocorrências, vulnerabilidades e os próprios incidentes.
Atividade 03 - Avaliação e decisão
O principal objetivo aqui é avaliar os eventos de segurança da informação e decisão sobre se é incidente de segurança da informação.É preciso realizar uma avaliação das informações relevantes associadas com a ocorrência de eventos de segurança da informação e classificar o evento como um incidente ou não.
Perceba como a política de gestão de incidentes de segurança (citada na atividade 01) é importante para prover referências na condução das sub atividades listadas a seguir, da mesma forma que será relevante para as atividades 04 e 05.
Sub atividades:
- decidir sobre a classificação (como evento ou incidente );
- utilizar bases de dados e procedimentos para investigação, assim como manter estas bases e procedimentos atualizadas;
- avaliar a situação com base nas classificações de eventos / incidentes de segurança;
- identificação de serviços afetados;
- mensuração do impactos nos ativos da informação considerando os critérios da informação: confidencialidade, integridade e disponibilidade;
- classificar e priorizar o incidente / evento;
- realizar o escalonamento adequado;
- reportar o evento / incidente a partes interessadas;
- atribuir as responsabilidades adequadas para o tratamento do incidente / evento;
- fornecer os procedimentos adequados a cada responsável;
- outras atividades mais específicas podem ser necessárias para armazenar de forma adequada evidências / provas sobre a causa do incidente (sobretudo em caso de ataques ).
Atividade 04 - Responder ao incidente de segurança
A partir deste ponto, as atividades descritas já partem do pressuposto de que a ocorrência foi classificada como incidente de segurança e portanto este deve ser tratado no contexto do processo.Sub atividades:
- conduzir ações conforme acordado na atividade de avaliação e decisão (atividade 03 deste artigo);
- respostas a incidentes de segurança da informação, incluindo a análise forense;
- instigar a resposta requerida, independe do responsável por tratá-la;
- escalonamento para responsáveis por gestão da continuidade, quando o impacto da situação for percebido como desastroso;
- pode envolver posterior análise forense, se necessário;
- atualizar todos as partes envolvidas sobre o andamento do tratamento do incidente;
- dar continuidade a sub atividade - citada no item anterior - de recolhimento de provas eletrônicas e armazenada seguro destas, caso seja necessário para a perseguição legal ou disciplinar do autor;
- resposta para conter e eliminar o incidente de segurança da informação;
- recuperar serviços impactados.
Atividade 05 - Atualizar lições aprendidas
Ao ler as sub atividades da fase 05, espero que perceba o quanto este processo é importante para a manutenção da Gestão da SI de forma adequada em sua organização.
Sub atividades:
- identificação das lições aprendidas;
- identificação de melhorias para a segurança da informação ;
- identificação de melhorias para a avaliação de riscos de segurança da informação e os resultados das análises;
- identificação e realização de melhorias para a gestão de informações de incidentes de segurança;
- identificação novos procedimentos e conhecimentos a serem adicionados às bases utilizadas pela equipe de resposta a incidentes;
- identificação de melhorias para processos, procedimentos, normas e controles de maneria geral utilizados para a proteção da informação;
- identificação e estudo de tendências, assim como propostas de eliminação das mesmas;
- comunicação a todas as partes interessadas sobre as necessidades de melhorias identificadas;
- garantia de que todas as melhorias identificadas são aplicadas.
Pouco importa se você irá trabalhar com um único processo ou com processos separados, mas recomendo que separe bem as responsabilidades de quem está cuidando da recuperação do serviço e quem é responsável pelas atividades proativas (sobretudo citadas nesta atividade 05). Atribuir atividades reativas e proativas a uma mesma pessoa pode não ser uma boa ideia, sobretudo em casos como tratamento de incidentes.
Perceba: atualizar lições aprendidas é uma atividade de melhoria contínua sim, mas espero que, ao invés de interpretá-la como um aspecto que motiva a excelência do processo, a visualize como uma questão de sobrevivência e apoio ao seu sistema de S.G.S.I .
5) Considerações finais
Modelos aqui citados podem sofrer adaptações para convir com a realidade de cada organização, tais como utilização de comitês no lugar de equipes e estrutura organizacionais de solução de incidentes.
Uma abordagem estruturada para a gestão de incidentes de segurança é essencial para qualquer organização que leve a sério a Segurança da Informação (SI).
6) Referências
Para quem deseja obter mais informações sobre o assunto, sugiro consultar as fontes a seguir:
- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
- Criando um Grupo de Respostas a Incidentes de Segurança em Computadores
- Expectativas quanto a Grupos de Resposta a Incidentes de Segurança em Computadores
- O processo de tratamento de incidentes de segurança - UFRGS por Joao Ceron, Arthur Boos Jr, Caciano Machado, Fernanda Martins, Leandro Rey
- Good Practice Guide for Incident Management
- European Union Agency for Network and Information Security
- Norma ISO/IEC 27035 Security incident management