INCIDENTES DE SEGURANCA DA INFORMAÇÃO
Quando se confirma ou suspeita-se que uma informação ou um ativo de informação teve sua integridade, confidencialidade ou disponibilidade comprometida, temos um incidente de segurança da informação.
Como exemplos de incidentes de segurança, podemos citar: mau funcionamento de sistemas ou serviços, ataques (como os de engenharia social ou de negação de serviço), acesso não autorizado, envio ou recebimento de códigos maliciosos, alterações em um sistema sem a aprovação do proprietário e perda, extravio ou roubo de dados ou equipamentos que contenham informações críticas.
Toda e qualquer ação que for contra a política de segurança da informação também deve ser tratada como um incidente de segurança.
OBJETIVO
Se uma organização é capaz de identificar um incidente de segurança da informação, utilizando ou não de controles para isso, e provê meios para que esse incidente seja comunicado ao setor responsável, então serão muito maiores as chances da organização conseguir tratar o problema em tempo hábil, reduzindo os danos provocados.
PLANO DE GERENCIAMENTO
Para que uma organização realmente consiga minimizar os impactos ocasionados por incidentes de segurança da informação, é importante que esse seja um processo estruturado. E para isso, convém que os procedimentos envolvidos na notificação, registro, monitoramento e resolução de incidentes, bem como os responsáveis por esses procedimentos, estejam descritos em um documento formal aprovado pela direção.
Um dos assuntos que o plano deve abordar é o da priorização de ações em caso de incidentes, o que varia muito de acordo com o tipo de negócio da organização. O importante é que a ordem de execução dessas ações esteja ajustada para uma resolução de problemas que seja mais eficiente e que ocorra num menor tempo possível.
Recomenda-se ainda que o plano de gestão de incidentes de segurança da informação defina os controles de auditoria, utilizados tanto na investigação de incidentes quanto na determinação das causas.
NOTIFICAÇÃO
Para que os incidentes de segurança da informação possam ser notificados o mais rapidamente possível, quando de sua ocorrência, a organização precisa possuir canais de comunicação formais, acessíveis, de fácil utilização, que estejam sempre disponíveis e que, preferencialmente, preservem a identidade da pessoa que acusou o incidente.
A escolha da forma como esse canais de comunicação serão implementados (e-mail, formulário, sistemas específicos etc.) deve envolver, além dos setores de tecnologia e segurança da informação, os proprietários da informação.
Em ambientes de alto risco, deve ser avaliada a adoção de alarmes de coação, que são aqueles dispositivos que, quando acionados, sinalizam de forma secreta a ocorrência de um incidente de segurança.
RESPONSABILIDADES
Os funcionários, fornecedores e terceirizados precisam ter consciência de que possuem responsabilidades para com a notificação de incidentes de segurança da informação e também com os procedimentos utilizados nessa notificação.
À exceção de pessoas autorizadas, jamais deve-se tentar averiguar os incidentes de segurança, pois uma atitude desse tipo, além de poder ser entendida como um uso inadequado do sistema, o que pode acarretar em sanções legais contra o realizador dos testes, pode acabar provocando outros incidentes de segurança.
FORENSE COMPUTACIONAL
Incidentes de segurança da informação muitas vezes resultam em ações legais ou disciplinares. Por isso, é de extrema importância que a organização possua procedimentos para busca e registro de evidências.
Para que uma evidência tenha valor legal, é preciso que os sistemas de informação da organização estejam em conformidade com alguma norma específica para produção de evidências admissíveis. Para isso, sugere-se a contratação de uma consultoria especializada.
Como exemplo, o trabalho forense deve sempre ser realizado em cópias do material de evidência, pois esse material, para possuir valor legal, precisa ter sua integridade preservada.
Às vezes, as evidências podem estar além dos limites da empresa, quando então será importante que a organização vá atrás das autorizações necessárias para a realização da coleta.
RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Uma vez que um incidente de segurança da informação tenha sido notificado, convém que ele seja solucionado da forma mais rápida e eficiente possível.
O primeiro passo se refere à contenção dos danos por meio da proteção dos ativos de informação, o que nem sempre pode ser conseguido já que o isolamento dos ativos afetados às vezes interfere na disponibilidade dos serviços, podendo provocar a interrupção de certas atividades do negócio, o que não é desejável. Para fins de perícia, é importante que sejam realizadas cópias dos discos rígidos dos equipamentos atacados.
A seguir, os danos devem ser avaliados para que se possa determinar a extensão do problema e, feito isso, tenta-se então descobrir as causas dos acontecimentos e também quais sistemas possibilitaram a ocorrência do incidente de segurança da informação possivelmente ao terem suas vulnerabilidades exploradas. A descoberta das causas se dá por meio da análise de registros de logs (de toda a rede, se necessário), checagem de configurações e ainda pela verificação de falhas não corrigidas em sistemas de informação.
Por fim, deve-se providenciar as correções cabíveis de forma que as operações e informações afetadas pelo incidente de segurança da informação sejam o quanto antes restauradas. Todo o processo deve ser registrado e revisado.
MELHORIAS
A análise dos incidentes de segurança da informação e do impacto provocado por eles permite que a organização aprenda com seus erros, corrija suas falhas e impeça que os mesmos problemas se repitam no futuro.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.