Os incidentes de cibersegurança são uma realidade e são cada vez mais frequentes e poderosos. Apesar de todo o investimento em mecanismos de prevenção, é fundamental que as organizações estejam preparadas para mitigar possíveis impactos e reduzir os danos, conseguindo repor rapidamente serviços. No âmbito do processo de gestão de incidentes de segurança o que deve fazer?
Segundo o Regime Jurídico de Segurança do Ciberespaço um Incidente é "um evento com um efeito adverso real na segurança das redes e dos sistemas de informação."
O processo de Gestão de Incidentes de Segurança é uma metodologia estruturada para identificar, analisar, e responder a incidentes que possam comprometer a segurança de sistemas, dados e operações de uma organização. Em Portugal, o processo segue geralmente normas e as melhores práticas reconhecidas, como a ISO/IEC 27035 (Gestão de Incidentes de Segurança da Informação).
Relativamente ao que se considera incidentes de segurança, que podem afetar a confidencialidade, integridade e disponibilidade da informação / serviço, aqui ficam alguns exemplos:
Acesso a credenciais, exfiltração de dados Intrusões na rede Contas comprometidas Malware /Ransomware Serviço da limpeza desligou um cabo Contas de administrador comprometidas; etcNo que diz respeito ao ciclo de vida de um incidente, há várias frameworks que definem várias fases. Para este artigo vamos considerar a ISO/IEC 27035.
Fases Principais da Resposta a Incidentes na ISO/IEC 27035
1) Preparação e Planeamento
Esta fase inclui a criação de políticas, processos e infraestruturas para a gestão de incidentes Definição de papéis e responsabilidades para as equipas de resposta a incidentes. Assegurar que colaboradores têm conhecimento e formação e que existem canais de comunicação claros. Configuração de ferramentas de monitorização, deteção de intrusão, e outras tecnologias que facilitam a deteção e resposta a incidentes.2) Deteção e Registo
É fundamental que a organização consiga identificar rapidamente atividades anómalas ou suspeitas, como acessos não autorizados, exfiltração de informação ou malware. O registo detalhado permite uma análise precisa e facilita o acompanhamento do incidente até à sua resolução.3) Avaliação e Decisão
Depois de identificado, o incidente deve ser avaliado para compreender a sua origem, extensão e impacto potencial na organização. A priorização é feita de acordo com critérios previamente definidos, permitindo uma resposta adequada à gravidade. Esta fase assegura que os recursos são alocados de forma eficiente e que as ações de resposta são proporcionais ao risco e impacto.4) Resposta
Nesta fase de resposta ao incidente há 3 ações a realizar: contenção, erradicação e recuperação: Contenção: Bloquear a propagação do incidente e mitigar o impacto. Erradicação: Erradicar o incidente Recuperação: Restaurar o sistema e garantir que o incidente não volte a ocorrer.5) Aprendizagem e Melhoria Contínua (Lições aprendidas)
Após a resolução do incidente, é realizada uma análise pós-incidente para identificar lições aprendidas e possíveis melhorias nos processos e medidas de segurança. A organização deve ajustar políticas, procedimentos e processos de acordo com as lições aprendidas.A adoção da ISO/IEC 27035 proporciona várias vantagens, incluindo a redução do impacto de incidentes, a resiliência organizacional, a conformidade com a legislação e normas e também a melhoria na deteção e resposta a incidentes.
category-label- 
