II_Teorico Segurança da Informação e Tratamento de Incidentes

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Segurança da Informação e 
Tratamento de Incidentes
Resposta, Tratamento e Gerenciamento de Incidentes
Responsável pelo Conteúdo:
Prof. Esp. Antonio Eduardo Marques da Silva
Revisão Textual:
Prof. Me. Claudio Brites
Nesta unidade, trabalharemos os seguintes tópicos:
• Mecanismos de Segurança;
• Vulnerabilidades;
• Risco;
• Modelo de Segurança CNSS;
• Componentes de um Sistema de Informação;
• Incidentes de Segurança da Informação;
• Equipe de Resposta a Incidentes;
• Criando um Grupo de Respostas a Incidentes.
Fonte: Getty Im
ages
Objetivo
• Abordar e compreender certo entendimento de que a resposta a incidentes é um esforço 
que a organização necessita para definir e documentar a natureza e o escopo de um 
incidente de segurança da computação.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Resposta, Tratamento e 
Gerenciamento de Incidentes
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
Contextualização 
Você sabe definir o que é segurança da informação e quais os conceitos essenciais que 
podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá-lo? Qual 
a importância de uma boa política de segurança da informação para uma organização?
Como existem diferentes tecnologias aplicadas em segurança da informação, você 
deve estar se perguntando: como é possível entender melhor o seu funcionamento? 
 Embora possamos aprender várias ferramentas ou tecnologias em segurança, preci-
samos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos 
maior facilidade de manuseio.
Nesta unidade, conheceremos alguns desses mecanismos, modelos de referência 
utilizados para uma boa aplicação do tema e entenderemos melhor como os incidentes 
são tratados, a fim de protegermos melhor instituições públicas e privadas no contexto 
da segurança.
Não se preocupe, nesta disciplina abordaremos alguns conceitos fundamentais para 
que você possa entender como funcionam alguns recursos, técnicas e ferramentas que 
fazem parte de um sistema de gestão da segurança da informação.
Vamos começar!
6
7
Mecanismos de Segurança
Mecanismos de segurança são algo que melhorarão a tríade da CIA (confidencia-
lidade, integridade e disponibilidade) de ativos de informação, ou seja, aumentarão a 
segurança da informação de uma forma geral. Os termos proteções, contramedidas, 
controles e salvaguardas podem ser utilizados como sinônimos para mecanismos de 
 segurança. Mecanismos de segurança podem ser categorizados de várias maneiras. 
 Bases para categorizações podem ser, por exemplo, sua relação com a tríade da CIA, 
ou por exemplo: hardware, software e políticas. 
Uma maneira de categorizá-los é com base em sua funcionalidade em relação ao 
tempo de um incidente; mecanismos de segurança podem estar prevenindo e evitando 
problemas, bem como recuperando dados perdidos. Evitar mecanismos de segurança 
é altamente dirigido para a ameaça, para afetar agentes de ameaça no propósito de 
reduzir o perigo de uma ameaça, ou a probabilidade de que uma ameaça seja percebida 
para incidentes (BAARS, 2018).
Exemplos de prevenção de mecanismos de segurança são a conscientização de segu-
rança e as leis. Mecanismos de segurança pretendem obstruir incidentes, por exemplo, 
na forma de firewalls ou programas de criptografia. Os mecanismos de segurança po-
dem ainda recuperar (ou restaurar) os ativos de informação já danificados – u m exemplo 
de um mecanismo de segurança assim é um software antivírus que repara arquivos 
infectados. De acordo com os quatro objetos – ameaça, incidente, dano e a tríade CIA –, 
existem também mecanismos de segurança que reduzem os danos, como, por exemplo, 
os extintores de incêndio. 
Resumindo, uma categorização de segurança com base no tempo de um incidente 
consiste em quatro categorias de mecanismos, os de prevenção, evitação, redução e 
recuperação, conforme a Figura 1.
Prevenir
Reduzir
Pode ser encarado
como um Pode levar aAmeaça
Pode causar
prejuízos
Evitar
Obstruir
Incidente
Reduzir Danos
Minimizar
Riscos
Recuperar
Restabelecer
Tríade CIA
Mecanismos de Segurança
Figura 1 – Categorias de Mecanismos de Segurança
Fo nte: Adaptado de nist.gov
Duas outras categorias que se encaixam nessa categorização são detetives e relatórios 
de mecanismos de segurança. A razão pela qual eles não podem ser usados nesse tipo 
de categorização é que eles podem ser usados em qualquer momento em relação a um 
incidente – antes, durante ou após a realização de uma ameaça. Mecanismos de segu-
rança de detecção podem ser usados para descobrir/relatar novos tipos de ameaças, 
detectar/relatar intrusões ou tentativas de intrusão, bem como detectar/relatar ativos de 
informações já danificados. 
7
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
Detetives de segurança são os mecanismos quase sempre reportados; quando algu-
ma ameaça, incidente ou dano for detectado, eles também poderão ser relatados. Isso 
significa que ao prevenir, evitar ou recuperar mecanismos de segurança, esses podem 
estar detectando e/ou reportando também. Além disso, é importante entender que pro-
dutos de segurança específicos podem ter várias funcionalidades, ou seja, evitar, reduzir 
danos, recuperar, detectar e relatar (FREITAS, 2018). 
Vulnerabilidades
A vulnerabilidade é a ausência de mecanismos de segurança ou os pontos fracos 
dos mecanismos de segurança existentes. Vulnerabilidade pode existir em todas as 
categorias de mecanismos de segurança que foram mencionados, e podem ser conhe-
cidos ou desconhecidos.
Risco
O risco é outro conceito fundamental na área de segurança. No entanto, o concei-
to de risco é difícil de se alcançar no gráfico apresentado, pois o risco é um conceito 
que diz respeito às condições futuras avaliadas. Alguns dos objetos no gráfico mudam 
quando se trata de avaliação de risco, por exemplo: “Dano potencial” em vez de “dano”. 
Além disso, o gráfico tende a ser muito complexo se incluirmos um grande número de 
conceitos e relações. 
Risco é a estimativa ou a probabilidade de alguém sobre as ocorrências de incidentes 
e danos potenciais causados por incidentes. Co nsequentemente, o conceito de risco 
consiste em duas partes: a probabilidade ou a frequência esperada de que um incidente 
ocorrerá, e os danos potenciais que um incidente pode causar. 
Isso pode ser expresso na seguinte equação: R = L * P. Onde R representa risco, L é 
perda potencial e P é probabilidade ou frequência esperada de perda. Mesmo que um 
incidente leve a sério dano, não há risco se a probabilidade ou frequência esperada for 
zero. Isso significa que R = 0 requer L = 0 e / ou P = 0. 
De acordo com a discussão sobre danos, os termos danos e perdas são utilizados 
como sinônimo. Na norma ISO/IEC 17799, risco (avaliação) é definido de forma se-
melhante, ou seja, consiste na probabilidade de um incidente, bem como as potenciais 
consequências negativas desse. 
O conceito de risco incluindo probabilidade, frequência esperada epotencial dano 
pode ser conectado graficamente a um ativo de informação de ameaça, incidente e à 
tríade da CIA. O conceito de risco é intimamente relacionado a ameaças, incidentes e à 
8
9
tríade de ativos de informação da CIA. Isso significa que a avaliação de risco deve lidar 
com a estimativa daqueles fenômenos. 
No entanto, o conceito de risco não está ligado a mecanismos de segurança e vulne-
rabilidades. Como discutido anteriormente, os mecanismos de segurança podem ter a 
intenção de afetar as ameaças, obstruir incidentes, reduzir danos ou recuperar prejuízos 
da tríade CIA de ativos de informação. Isso significa que os mecanismos de segurança 
podem diminuir os riscos diminuindo a probabilidade ou a frequência esperada das ocor-
rências de incidentes, ou diminuindo os danos de incidentes ocorridos. Vulnerabilidades 
nos mecanismos de segurança aumentarão com certeza os riscos (OLIVEIRA, 2018).
Como implementar uma política de segurança da informação?
Disponível em: https://youtu.be/glOsGudRuks.
Modelo de Segurança CNSS
O modelo de segurança de informação conhecido como modelo CNSS é um padrão 
do NSTISSI. A definição de segurança da informação apresentada nessa parte do ma-
terial, em parte no documento da CNSS chamado de National Training Standard for 
Information Systems Security Professionals, ou NSTISSI No. 4011. 
O NSTISSC foi renomeado para o Comitê Nacional de Sistemas de Segurança 
(CNSS), do inglês Committee on National Security Systems. Esse documento apre-
senta um modelo abrangente para segurança da informação e tornar-se um padrão am-
plamente aceito de avaliação para a segurança dos sistemas de informação. O modelo, 
criado por John McCumber em 1991, fornece uma representação gráfica da abordagem 
amplamente utilizada em segurança de informática e de informação – agora conhecido 
como o Cu bo McCumber.
O Cubo McCumber é composto de três dimensões. Se extrapolada nas três dimen-
sões de cada eixo (x, y e z) que formam um cubo 3 × 3 × 3, com 27 células represen-
tando áreas que devem ser abordadas para proteger os sistemas de informação atuais. 
Para garantir a segurança do sistema, cada uma das 27 áreas deve ser adequadamente 
abordada durante o processo de segurança. Por exemplo, a intersecção entre tecno-
logia, integridade e armazenamento requer um controle ou a salvaguarda, e ele aborda 
a necessidade de usar a tecnologia para proteger a integridade das informações durante 
o armazenamento. Um desses controles pode ser um sistema para detectar a invasão 
de um host que protege a integridade das informações, alertando os administradores de 
segurança para a possível modificação de um arquivo. O que normalmente é deixado de 
fora de tal modelo é a necessidade de diretrizes e políticas que podem fornecer orienta-
ção para as práticas e implementações de tecnologias.
9
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
Tec
nol
ogi
a d
e e
du
caç
ão 
pol
ític
a
Armazenamento
Disponibilidade
Processamento TransmissãoArmazenamento Processamento Transmissão
Integridade
Con�dencialidade
Disponibilidade
Integridade
Con�dencialidade
Tec
nol
ogi
a d
e e
du
caç
ão 
pol
ític
a
Figura 2 – Modelo de Segurança Cubo McCumber
Componentes de um Sistema de Informação
Conforme definido no Cubo McCumber, um sistema de informação (SI) é muito mais 
do que um hardware de computador; é todo o conjunto de software, hardware, dados, 
pessoas, procedimentos e redes que tornam possível o uso de recursos de informação 
na organização. Ess es seis componentes críticos permitem informações a serem inseri-
das, processadas, produzidas e armazenadas. Cada um desses componentes possui seus 
pontos fortes e fracos, bem como suas próprias características e usos. Cada compo-
nente do sistema de informação também tem seus próprios requisitos de segurança:
• Softwares e programas: O componente de software do SI compreende aplicati-
vos, sistemas operacionais e diversos utilitários. O software é talvez o componente 
mais difícil de proteger. A exploração de erros na programação de software é res-
ponsável por uma parte substancial dos ataques cibernéticos. A indústria de tecno-
logia da informação está repleta de relatórios alertando sobre buracos, bugs, pontos 
fracos ou outros problemas fundamentais no software. De fato, muitas facetas da 
vida cotidiana são afetadas por bugs de softwares e outros problemas relaciona-
dos a esse tema. O software carrega a força vital da informação através de uma 
organização. Infelizmente, os softwares e programas são frequentemente criados 
sob as restrições do gerenciamento de projetos, que requerem tempo, custo e mão 
de obra. A segurança da informação é, muitas vezes, implementada como uma 
reflexão tardia, ao invés de desenvolvida como um componente integral desde o 
início do desenvolvimento do software (programação segura). Nesse caminho, pro-
gramas e softwares tornam-se um alvo fácil de ataques acidentais ou intencionais;
• Hardware: O hardware é a tecnologia física que hospeda e executa o software, 
armazena e transporta os dados e fornece interfaces para a entrada e remoção de 
informações do sistema de computação. As políticas de segurança física lidam com 
o hardware como um ativo físico e com a proteção de ativos físicos de danos ou 
roubo. Aplicando as ferramentas tradicionais de segurança física, como bloqueios 
10
11
e chaves, restringe o acesso e a interação com os componentes de hardware de 
um sistema. Protegendo a localização física dos computadores e dos próprios com-
putadores, é importante porque uma violação de segurança física pode resultar 
em perda de informações. Infelizmente, a maioria dos sistemas de informação são 
construídos em plataformas de hardware que não podem garantir qualquer nível de 
segurança da informação se o acesso irrestrito ao hardware for possível. Uma pes-
soa mal-intencionada pode destruir fisicamente o hardware (incêndio por exemplo) 
ou até mesmo roubá-lo;
• Dados: Os dados armazenados, processados e transmitidos por um sistema de 
computação devem ser protegidos. Os dados são muitas vezes o bem mais valioso 
possuído por uma organização e o principal alvo de ataques intencionais. Sistemas 
desenvolvidos nos últimos anos são susceptíveis de fazer uso de sistemas de gestão 
de banco de dados. Quando feito corretamente, isso deve melhorar a segurança dos 
dados e da aplicação. Infelizmente, muitos projetos de desenvolvimento de sistemas 
não fazem uso dos recursos de segurança do sistema de gerenciamento de banco de 
dados e, em alguns casos, o banco de dados é implementado de maneiras menos 
segura que os sistemas de arquivos tradicionais;
• Redes: O componente SI que criou grande parte da necessidade de aumento de 
computadores e informações é com certeza a segurança de rede (network security). 
Quando os sistemas de informação estão conectados uns aos outros para formar 
r edes locais (LANs), e essas LANs estão conectadas a outras redes, como a Internet , 
novos desafios de segurança emergem rapidamente. A tecnologia física que per-
mite funções de rede está se tornando cada vez mais acessível a organizações de 
todos os tamanhos. Aplicar as tradicionais ferramentas de segurança física, como 
bloqueios e chaves, para restringir o acesso e a interação com os componentes de 
hardware de um sistema de informação ainda é importante, mas quando sistemas 
de computador estão em rede, essa abordagem já não é suficiente apenas. Etapas 
para fornecer segurança à rede são essenciais, assim como a implementação de 
sistemas de alarme e intrusão (IDS ou IPS) para tornar o sistema mais seguro, o que 
possa permitir seu correto funcionamento;
• Procedimentos: Outro componente frequentemente negligenciado de um SI é o 
procedimento. Os procedimentos são escritos como instruções para realizar uma 
tarefa específica. Quando um usuário não autorizado obtém de uma organiza-
ção procedimentos, isso representa uma ameaça à integridade das informações. 
Por exemplo, um consultor de umbanco aprendeu a transferir fundos usando os 
procedimentos do centro de computação, que estavam prontamente disponíveis. 
Aproveitando-se de uma falha de segurança (falta de autenticação por exemplo), 
esse consultor ordenou que milhões de dólares fossem transferidos por transfe-
rência bancária para sua própria conta. Os procedimentos de segurança negligen-
tes causaram a perda de mais de dez milhões de dólares antes que a situação fosse 
corrigida. A maioria das organizações distribui procedimentos para que seus fun-
cionários legítimos possam acessar o sistema de informações, mas muitas dessas 
empresas geralmente não fornecem educação adequada sobre a proteção desses 
procedimentos. Educar os funcionários sobre os procedimentos de salvaguarda é 
11
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
tão importante quanto fisicamente proteger o sistema de informação – afinal, os 
procedimentos são também informações por direito próprio. Portanto, o conheci-
mento dos procedimentos, como toda a informação crítica, deve ser divulgado en-
tre os membros da organização apenas com base na necessidade de conhecimento 
desses membros. Ou seja, dê acesso e informação apenas para quem necessita 
desse acesso ou informação;
• Pessoas: Embora muitas vezes sendo um fator negligenciado em considerações 
relacionadas à segurança do computador, pessoas sempre foram uma ameaça à 
segurança da informação. As pessoas (ou no contexto de SI, os usuários ou clientes ) 
podem ser o elo mais fraco no programa de segurança de informações de uma 
organização. E a menos que as políticas de segurança, educação e treinamento, 
conscientização e tecnologia sejam empregadas apropriadamente, será difícil evitar 
acidentalmente ou intencionalmente danos ou perdas de informações.
Incidentes de Segurança da Informação
Conforme o CERT.br do Comitê Gestor da Internet Brasil ou CGI, um incidente de 
segurança pode ser caracterizado como qualquer evento adverso, confirmado ou sob 
suspeita, relacionado à segurança de algum sistema de computação ou de alguma 
rede de comunicação/computadores. De uma forma geral, qualquer situação em 
que um ou mais ativos de informação estejam sob risco é considerada um incidente 
de segurança.
Quem conhece um pouco sobre gestão de incidentes da ITIL provavelmente se fami-
liarizará com os objetivos descritos a seguir, pois vale observar que o foco em incidentes 
de segurança se torna um processo mais específico e elaborado. Outro diferenciador, 
se comparado com o tema de gestão de incidentes clássico, é o fato desse processo 
agregar parte das atividades que poderiam ser de responsabilidade da gestão de eventos 
em gerenciamento de serviços de TIC, já que o conceito padrão define incidente como 
“qualquer evento adverso, confirmado ou sob suspeita “ (MILAR, 2012).
São objetivos da ges tão de incidentes em sistemas da informação:
• Garantir a identificação de eventos e o tratamento adequado, sobretudo na catego-
rização ou não desses eventos como incidentes de segurança da informação;
• Gar antir que um incidente de segurança da informação seja identificado, avaliado e 
respondido de uma maneira mais adequada;
• Minimizar efeitos adversos de incidentes de segurança da informação (tratando 
 esses eventos o mais brevemente possível);
• Reportar as vulnerabilidades (pontos fracos) de segurança da informação, além de 
ter que tratá-los adequadamente;
• Auxiliar e prevenir futuras ocorrências, através da manutenção de uma base de lições 
aprendidas (algo parecido com a base de conhecimento de dados de erros identificados).
12
13
Equipe de Resposta a Incidentes
É u ma equipe de profissionais devidamente qualificados que possam lidar com inci-
dentes durante o seu ciclo de vida, esses podem ser abordados como um subgrupo da 
gestão de incidentes com especialidade em segurança da informação. Esses profissionais 
podem assumir funções em tempo integral ou parcial para a análise e o tratamento de 
incidentes de segurança. Esses órgãos são denominados de CSIRTs (Com puter Security 
Incident Response Teams).
Uma equipe de resposta a incidentes de segurança de computadores (ou, do inglês, 
Computer Security Incident Response Teams) ou apenas identificado pela sigla CSI RT 
são organizações que recebem relatórios de violações de segurança, realizando análises 
desses relatórios e respondendo aos remetentes. Existem vários tipos de CSIRT. Um 
CSIRT interno é montado como parte de uma organização matriz, como um governo, 
uma corporação, uma universidade ou uma rede de pesquisa. CSIRTs nacionais (um tipo 
de CSIRT interna), por exemplo, supervisionam o tratamento de incidentes para um país 
inteiro. Normalmente, as CSIRT internas se reúnem periodicamente ao longo do ano 
para tarefas proativas, como testes de DR (Disaster Recovery), ou conforme necessário, 
no caso de uma violação de segurança. As CSIRTs externas fornecem serviços pagos 
em uma base contínua ou conforme a necessidade de seus contratantes (MILAR, 2012).
O CERT (Computer Emergency Readiness Team) lista os seguintes papéis entre os 
membros do CSIRT:
• Gerente ou líder de equipe;
• Gerentes assistentes, supervisores ou líderes de grupo;
• Hotline, Help Desk ou equipe de triagem;
• Manipuladores de incidentes;
• Manipuladores de vulnerabilidade;
• Equipe de análise de artefatos;
• Especialistas em plataformas;
• Treinadores e instrutores.
Os serviços específicos fornecidos variam de um CSIRT para outro. Um incidente de 
segurança de informática pode envolver uma violação real ou suspeita ou ainda um ato 
intencional que pode causar uma vulnerabilidade ou violação. Incidentes típicos incluem 
a introdução de vírus ou worms em uma rede, ataques DoS (negação de serviço), altera-
ção não autorizada de software ou hardware e roubo de identidade de indivíduos ou ins-
tituições. O hacking (mais correto cracking) em geral pode ser considerado um incidente 
de segurança, a menos que os criminosos tenham sido deliberadamente contratados 
com o propósito específico de testar um computador ou rede em busca de vulnerabilida-
des (hakerismo ético) e, nesse caso, os hackers podem fazer parte da CSIRT, em uma 
função preventiva. As CSIRTs podem fornecer serviços proativos, como treinamento de 
segurança do usuário final, além de responder a incidentes.
13
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
Respondendo rapidamente a incidentes de segurança em https://youtu.be/48QZLZupvtA.
O tempo de resposta constitui uma consideração crítica na montagem, manu tenção 
e implantação de um CSIRT eficaz. Uma resposta rápida, precisa e direcionada pode 
minimizar os danos gerais a finanças, hardware e software causados por um inciden-
te específico. Outra consideração importante envolve a capacidade do CSIRT para 
rastrear os autores de um incidente, para que os culpados possam ser desligados e 
processados efetivamente. Uma terceira consideração envolve o “endurecimento” do 
software e da infraestrutura para minimizar o número de incidentes que ocorrem ao 
longo do tempo.
Termos alternativos para CSIRT incluem CIRC (Computer Incident Response 
 Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center 
ou Incident Response Capability), IRT (Incident Response Team), SERT (Security 
Emergency Response Team) e SIRT (Security Incident Response Team). As CSIRTs 
internas costumam usar um dos termos junto com um identificador.
Criando um Grupo de 
Respostas a Incidentes
O ciclo de vida de um incidente de segurança da informação é definido por atividades 
do processo que podemos descrever em sequência:
Atividade 01 – Planejamento do Processo
Cuidar de incidentes corriqueiros ou cotidianos, tais como problemas em com-
putadores desktops e erros de software, não é mais tarefa simples. Quando se trata 
de incidentes de segurança da informação, a primeira coisa que se imagina é que 
devem existir atividades mais complexas e que tratarão casos que não ocorrem a todo 
instante. Sobre a políticade gestão de incidentes de segurança da informação, sem 
 ignorar os comprometimentos da alta direção e políticas de gestão de riscos atualizados , 
podemos citar:
• Criação e estabelecimento da equipe de resposta a incidentes;
• Fluxo de incidentes de segurança da informação;
• Planejamento e capacitação da equipe de suporte técnico especializado;
• Ferramentas de testes, análise e monitoramento;
• Ferramenta de registro dos incidentes e eventos;
• Conscientização da equipe em relação à sensibilidade envolvida com o gerencia-
mento de incidentes em segurança da informação;
• Outros.
14
15
Atividade 02 – Detecção e Comunicação
Envolve a detecção (normalmente auxiliada através de ferramentas de automação e 
software), coleta de informações associadas e relatórios sobre ocorrências a respeito de 
segurança da informação, vulnerabilidades de segurança que não foram antes tratadas 
e exploradas, assim como os incidentes propriamente ditos, sejam eles provocados de 
forma intencional ou não. Em resumo, de uma maneira mais simplificada, os objetivos 
dessa atividade é detectar vulnerabilidades, ocorrências e incidentes.
Atividade 03 – Avaliação e Decisão
O principal objetivo dessa atividade é avaliar os eventos de segurança da informação 
e tomar decisão sobre se é ou não um incidente de segurança da informação. Para isso, 
é necessário realizar uma avaliação das informações mais relevantes associadas com 
uma ocorrência de eventos de segurança da informação e poder classificar o evento 
como um incidente ou não. Podemos descrever subatividades para esta atividade mestre:
• Decidir sobre a classificação (como evento ou incidente );
• Utilizar as bases de dados e procedimentos para investigação, assim como mantê-
-las atualizadas;
• Identificação de serviços afetados;
• Identificar os impactos nos ativos da informação considerando os critérios da infor-
mação como a CIA: confidencialidade, integridade e disponibilidade;
• Avaliar a situação com base nas classificações de eventos/incidentes de segurança 
da informação;
• Classificar e priorizar o incidente ou evento identificado;
• Atribuir às equipes as responsabilidades para o tratamento do incidente ou eventos;
• Realizar o escalonamento mais adequado possível;
• Relatar o evento ou incidente a áreas interessadas;
• Fornecer os procedimentos adequados para cada responsável de área.
Atividade 04 – Responder ao Incidente de Segurança
As atividades dessa atividade já partem do pressuposto de que a ocorrência foi clas-
sificada como incidente de segurança e, nesse caso, deve ser tratada no contexto do 
processo. Podemos segmentá-las em subatividades:
• Conduzir ações conforme acordado na atividade de avaliação e decisão;
• Escalonamento para equipes responsáveis pela gestão da continuidade, quando o 
impacto da situação for percebido como um desastre;
• Dar respostas a incidentes de segurança da informação, incluindo a análise forense 
computacional;
15
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
• Instigar a resposta requerida, independe do responsável que irá tratá-la;
• Atualização de todos as áreas envolvidas sobre o andamento do tratamento do 
incidente identificado;
• Resposta para conter e eliminar o incidente de segurança da informação;
• Recuperação dos serviços impactados;
• Reconhecimento de provas eletrônicas e armazenamento seguro dessas provas 
para que, caso seja necessária uma perseguição legal ou disciplinar do autor, elas 
possam ser apresentadas.
Atividade 05 – Atualizar Lições Aprendidas
Ao chegar nessa atividade desse processo é importante para a manutenção da Gestão 
de Sistema da Informação de forma adequada em sua instituição. Podemos descrê-la 
através destas subatividades:
• Identificação e realização de melhorias em relação à gestão de informações de 
 incidentes de segurança;
• Identificação de novos procedimentos e conhecimentos a serem adicionados às 
bases de dados utilizadas pelo time de resposta a incidentes de segurança;
• Identificação das lições aprendidas;
• Identificação de melhorias de processos de segurança da informação;
• Identificação de melhorias para a avaliação de riscos no contexto de segurança da 
informação e dos resultados das análises realizadas;
• Identificação de melhorias para processos, procedimentos, normas e controles de 
maneira global que serão utilizados para a proteção da informação da instituição;
• Comunicação a todas as áreas interessadas sobre as necessidades de melhorias 
identificadas;
• Identificação e estudo de novas tendências, assim como propostas para a elimina-
ção das mesmas;
• Garantia de que todas as melhorias identificadas serão aplicadas.
As boas práticas em gestão de incidentes de sistemas de informação se sobrepõem 
aos processos de gerenciamento de incidentes e problemas do ITIL e, por esse moti-
vo, esses itens têm uma certa familiaridade. É importante lembrar que atualizar lições 
aprendidas é uma das melhores atividades de melhoria contínua e que faz parte e ques-
tão de sobrevivência e apoio ao seu sistema de SGSI (Sistema Gestão de Segurança da 
Informação).
16
17
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Livros
Fundamentos do Gerenciamento de Serviços de TI
FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI. 2. ed. São 
Paulo: Brasport, 2018.
Governança de Segurança da Informação
MANOEL, S. Governança de Segurança da Informação. 1. ed. São Paulo: Brasport, 2014.
Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002
HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos 
de Segurança da Informação com Base na ISO 27001 e na ISO 27002. 3. ed. São 
Paulo: Pearson, 2018.
CCNP Routing and Switching Official Cert Library
KEVIN, W.; LACOSTE, R.; HUCABY, D. CCNP Routing and Switching Official Cert 
Library. Indianápolis, EUA: Editora Cisco Press, 2015.
17
UNIDADE 
Resposta, Tratamento e Gerenciamento de Incidentes
Referências
FER NANDES, A. A.; ABREU, V. F. Implantando a Governança de TI. 4. ed. São 
Paulo: Brasport, 2018.
MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST – Computer Security 
Incident Handling Guide, Revision 2. EUA: 2012.
NIELES, M.; DEMPSEY, K.; PILLITERI, V. NIST – An Introduction to Information 
Security, Revision 1. EUA: NIST, 2017.
OLIVEIRA, B. S. Métodos Ágeis e Gestão de Serviços de TI. 1. ed. São Paulo: 
 Brasport, 2018.
OLIVEIRA, F. B. Tecnologia da Informação e Comunicação. 1. ed. São Paulo: 
 Pearson, 2012.
18