5.1. Planejamento de Resposta a Incidentes

A gestão de incidentes de Segurança da Informação é um conjunto de práticas e processos destinados a identificar, responder, mitigar e recuperar de maneira eficaz e organizada quando ocorrem incidentes de segurança cibernética ou violações de dados. É uma abordagem estruturada para lidar com eventos adversos que podem comprometer a confidencialidade, integridade, disponibilidade e autenticidade das informações da organização.

Veja os principais conceitos sobre a gestão de incidentes do Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República:

• Gestão de incidentes de Segurança da Informação: processo que visa integrar atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e organizacional, aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação.

• Gestão de incidentes cibernéticos: processo que realiza ações sobre qualquer evento adverso relacionado à Segurança Cibernética dos sistemas ou da infraestrutura de computação.

• Incidente: interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

• Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

• Incidente Cibernético: ocorrência que pode comprometer, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema. Poderá também ser caracterizada pela tentativa de exploração de vulnerabilidade de sistema de informação que caracterize violação de norma, política de segurança, procedimento de segurança ou política de uso.

Um incidente de segurança cibernética não significa necessariamente que as informações já estão comprometidas; significa apenas que a informação está ameaçada. De maneira geral, os tipos de atividade comumente reconhecidas como incidentes cibernéticos são:

• tentativas de obter acesso não-autorizado a um sistema ou a dados armazenados;

• tentativa de utilização não-autorizada de sistemas para a realização de atividades de processamento ou armazenamento de dados;

• mudanças não-autorizadas de firmware, hardware ou software em um ambiente computacional;

• ataques de negação de serviço (DDoS); e e) demais ações que visem afetar a disponibilidade ou integridade dos dados.

Para um plano eficaz de resposta a incidentes, é fundamental que as organizações estejam preparadas para detectar, avaliar e responder rapidamente a incidentes de segurança cibernética. Abaixo estão os principais aspectos a serem considerados no planejamento de resposta a incidentes:

Importância do Planejamento de Resposta a Incidentes

• Redução de Danos: Responder rapidamente a incidentes pode ajudar a limitar o impacto negativo nos sistemas, dados e operações da organização.

• Minimização de Tempo de Inatividade: Um plano estruturado pode ajudar a reduzir o tempo de inatividade causado por incidentes de segurança, mantendo a continuidade dos negócios.

• Conformidade e Responsabilidade: Demonstrar conformidade com regulamentações de segurança cibernética e demonstrar responsabilidade na proteção de dados e sistemas.

Principais ações

No contexto da gestão de incidentes de Segurança da Informação emergem as ações para:

• Identificar os incidentes: ação de reconhecimento e detecção de atividades ou eventos que podem indicar um incidente de segurança, como por exemplo: atividades suspeitas em registros de logs, tentativas de acesso não autorizadas e comportamentos anômalos.

• Classificar e priorizar os incidentes: ação de avaliação da gravidade e impacto de um incidente para determinar sua urgência e prioridade de resposta. Com isso, é possível dimensionar os recursos necessários para a gestão do incidente, de maneira eficiente, direcionando as ações de resposta para os incidentes mais críticos.

• Responder aos incidentes: ação de implementação de ações coordenadas e planejadas para conter, mitigar e solucionar um incidente. Isso pode incluir isolar sistemas comprometidos, interromper atividades maliciosas e aplicar contramedidas para impedir que o incidente se espalhe.

• Recuperar e mitigar os incidentes: ação para restaurar a normalidade na sequência de um incidente, corrigindo as vulnerabilidades apresentadas e restaurando a funcionalidade afetada, bem como a análise das causas raiz para implementar ações que buscam impedir incidentes semelhantes no futuro.

• Notificar e comunicar: ação de comunicação adequada dos incidentes para as partes interessadas internas e externas, como autoridades regulatórias, fornecedores, parceiros e clientes. Essa comunicação busca manter a transparência e a confiança na organização.

• Documentar: ação para a criação de registros detalhados de todos os aspectos do incidente, incluindo medidas técnicas e administradas realizadas, impacto e lições aprendidas. Esses registros ajudam na análise das informações obtidas na gestão do incidente.

• Analisar as lições aprendidas: ação de revisão abrangente do incidente na sequência da sua resolução, focando na identificação das áreas que demandam os processos de resposta a incidentes de forma mais adequados, bem como ajustes nas políticas e controles de segurança para evitar futuros incidentes semelhantes, buscando a melhoria contínua.

Componentes de um Plano de Resposta a Incidentes

• Equipe de Resposta a Incidentes (IRT): Designação de uma equipe responsável pela resposta a incidentes, incluindo representantes de TI, segurança, comunicação e gestão executiva.

• Procedimentos Operacionais Padrão (SOPs): Documentação clara de procedimentos detalhados para identificação, triagem, análise, contenção, erradicação e recuperação de incidentes.

• Cadeia de Comando: Definição clara da hierarquia de decisões e responsabilidades durante a resposta a incidentes, incluindo comunicação interna e externa.

• Ferramentas e Tecnologias: Implementação de ferramentas de detecção de ameaças, análise forense, gestão de eventos de segurança (SIEM) e automação de resposta.

Etapas do Plano de Resposta a Incidentes

1. Preparação: Desenvolvimento do plano de resposta a incidentes, identificação de recursos e treinamento da equipe de resposta a incidentes.

2. Detecção e Análise: Monitoramento contínuo de sistemas e redes para identificar sinais de incidentes de segurança em potencial. Análise inicial para determinar a natureza e a extensão do incidente.

3. Contenção e Erradicação: Isolamento do incidente para evitar sua propagação. Implementação de medidas corretivas para remover a ameaça e restaurar a integridade dos sistemas afetados.

4. Recuperação: Restauração de sistemas e dados afetados para retomar as operações normais de negócios o mais rapidamente possível.

5. Lições Aprendidas: Análise pós-incidente para identificar pontos fortes e áreas de melhoria no plano de resposta a incidentes. Atualização do plano com base em insights obtidos.

Testes e Exercícios

• Simulações de Incidentes: Realização de exercícios regulares de simulação de incidentes para testar a eficácia do plano de resposta a incidentes e melhorar a capacidade de resposta da equipe.

• Revisão e Atualização: Revisão periódica do plano de resposta a incidentes para incorporar novas ameaças, tecnologias e lições aprendidas com incidentes anteriores.

Cooperação e Comunicação

• Comunicação Interna e Externa: Estabelecimento de protocolos claros de comunicação para informar stakeholders internos e externos sobre incidentes e medidas de resposta.

• Cooperação com Autoridades: Colaboração com autoridades regulatórias, agências de aplicação da lei e outras partes interessadas relevantes durante a resposta a incidentes.

Conclusão

Um plano de resposta a incidentes bem elaborado e testado é essencial para minimizar o impacto de incidentes de segurança cibernética e proteger os ativos digitais de uma organização. Ao adotar uma abordagem proativa e sistemática para planejar, implementar e aprimorar continuamente seu plano de resposta a incidentes, as organizações podem fortalecer sua postura de segurança cibernética e garantir a resiliência operacional diante de ameaças cada vez mais sofisticadas.

Para apoiar no tratamento e resposta a incidentes cibernéticos, os órgãos poderão utilizar normativos e guias já publicados, como:

• Norma Complementar nº 08 /IN01/DSIC/GSIPR - Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal.

• Norma Complementar nº 21 /IN01/DSIC/GSIPR - Estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.

• Guia de Resposta a Incidentes de Segurança da Secretaria de Governo Digital apresenta boas práticas para que as instituições e os profissionais de segurança da informação realizem o tratamento de incidentes cibernéticos, com enfoque em incidentes que envolvam dados pessoais.