Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Segurança da Informação e Tratamento de Incidentes Resposta, Tratamento e Gerenciamento de Incidentes Responsável pelo Conteúdo: Prof. Esp. Antonio Eduardo Marques da Silva Revisão Textual: Prof. Me. Claudio Brites Nesta unidade, trabalharemos os seguintes tópicos: • Mecanismos de Segurança; • Vulnerabilidades; • Risco; • Modelo de Segurança CNSS; • Componentes de um Sistema de Informação; • Incidentes de Segurança da Informação; • Equipe de Resposta a Incidentes; • Criando um Grupo de Respostas a Incidentes. Fonte: Getty Im ages Objetivo • Abordar e compreender certo entendimento de que a resposta a incidentes é um esforço que a organização necessita para definir e documentar a natureza e o escopo de um incidente de segurança da computação. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Resposta, Tratamento e Gerenciamento de Incidentes UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes Contextualização Você sabe definir o que é segurança da informação e quais os conceitos essenciais que podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá-lo? Qual a importância de uma boa política de segurança da informação para uma organização? Como existem diferentes tecnologias aplicadas em segurança da informação, você deve estar se perguntando: como é possível entender melhor o seu funcionamento? Embora possamos aprender várias ferramentas ou tecnologias em segurança, preci- samos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos maior facilidade de manuseio. Nesta unidade, conheceremos alguns desses mecanismos, modelos de referência utilizados para uma boa aplicação do tema e entenderemos melhor como os incidentes são tratados, a fim de protegermos melhor instituições públicas e privadas no contexto da segurança. Não se preocupe, nesta disciplina abordaremos alguns conceitos fundamentais para que você possa entender como funcionam alguns recursos, técnicas e ferramentas que fazem parte de um sistema de gestão da segurança da informação. Vamos começar! 6 7 Mecanismos de Segurança Mecanismos de segurança são algo que melhorarão a tríade da CIA (confidencia- lidade, integridade e disponibilidade) de ativos de informação, ou seja, aumentarão a segurança da informação de uma forma geral. Os termos proteções, contramedidas, controles e salvaguardas podem ser utilizados como sinônimos para mecanismos de segurança. Mecanismos de segurança podem ser categorizados de várias maneiras. Bases para categorizações podem ser, por exemplo, sua relação com a tríade da CIA, ou por exemplo: hardware, software e políticas. Uma maneira de categorizá-los é com base em sua funcionalidade em relação ao tempo de um incidente; mecanismos de segurança podem estar prevenindo e evitando problemas, bem como recuperando dados perdidos. Evitar mecanismos de segurança é altamente dirigido para a ameaça, para afetar agentes de ameaça no propósito de reduzir o perigo de uma ameaça, ou a probabilidade de que uma ameaça seja percebida para incidentes (BAARS, 2018). Exemplos de prevenção de mecanismos de segurança são a conscientização de segu- rança e as leis. Mecanismos de segurança pretendem obstruir incidentes, por exemplo, na forma de firewalls ou programas de criptografia. Os mecanismos de segurança po- dem ainda recuperar (ou restaurar) os ativos de informação já danificados – u m exemplo de um mecanismo de segurança assim é um software antivírus que repara arquivos infectados. De acordo com os quatro objetos – ameaça, incidente, dano e a tríade CIA –, existem também mecanismos de segurança que reduzem os danos, como, por exemplo, os extintores de incêndio. Resumindo, uma categorização de segurança com base no tempo de um incidente consiste em quatro categorias de mecanismos, os de prevenção, evitação, redução e recuperação, conforme a Figura 1. Prevenir Reduzir Pode ser encarado como um Pode levar aAmeaça Pode causar prejuízos Evitar Obstruir Incidente Reduzir Danos Minimizar Riscos Recuperar Restabelecer Tríade CIA Mecanismos de Segurança Figura 1 – Categorias de Mecanismos de Segurança Fo nte: Adaptado de nist.gov Duas outras categorias que se encaixam nessa categorização são detetives e relatórios de mecanismos de segurança. A razão pela qual eles não podem ser usados nesse tipo de categorização é que eles podem ser usados em qualquer momento em relação a um incidente – antes, durante ou após a realização de uma ameaça. Mecanismos de segu- rança de detecção podem ser usados para descobrir/relatar novos tipos de ameaças, detectar/relatar intrusões ou tentativas de intrusão, bem como detectar/relatar ativos de informações já danificados. 7 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes Detetives de segurança são os mecanismos quase sempre reportados; quando algu- ma ameaça, incidente ou dano for detectado, eles também poderão ser relatados. Isso significa que ao prevenir, evitar ou recuperar mecanismos de segurança, esses podem estar detectando e/ou reportando também. Além disso, é importante entender que pro- dutos de segurança específicos podem ter várias funcionalidades, ou seja, evitar, reduzir danos, recuperar, detectar e relatar (FREITAS, 2018). Vulnerabilidades A vulnerabilidade é a ausência de mecanismos de segurança ou os pontos fracos dos mecanismos de segurança existentes. Vulnerabilidade pode existir em todas as categorias de mecanismos de segurança que foram mencionados, e podem ser conhe- cidos ou desconhecidos. Risco O risco é outro conceito fundamental na área de segurança. No entanto, o concei- to de risco é difícil de se alcançar no gráfico apresentado, pois o risco é um conceito que diz respeito às condições futuras avaliadas. Alguns dos objetos no gráfico mudam quando se trata de avaliação de risco, por exemplo: “Dano potencial” em vez de “dano”. Além disso, o gráfico tende a ser muito complexo se incluirmos um grande número de conceitos e relações. Risco é a estimativa ou a probabilidade de alguém sobre as ocorrências de incidentes e danos potenciais causados por incidentes. Co nsequentemente, o conceito de risco consiste em duas partes: a probabilidade ou a frequência esperada de que um incidente ocorrerá, e os danos potenciais que um incidente pode causar. Isso pode ser expresso na seguinte equação: R = L * P. Onde R representa risco, L é perda potencial e P é probabilidade ou frequência esperada de perda. Mesmo que um incidente leve a sério dano, não há risco se a probabilidade ou frequência esperada for zero. Isso significa que R = 0 requer L = 0 e / ou P = 0. De acordo com a discussão sobre danos, os termos danos e perdas são utilizados como sinônimo. Na norma ISO/IEC 17799, risco (avaliação) é definido de forma se- melhante, ou seja, consiste na probabilidade de um incidente, bem como as potenciais consequências negativas desse. O conceito de risco incluindo probabilidade, frequência esperada epotencial dano pode ser conectado graficamente a um ativo de informação de ameaça, incidente e à tríade da CIA. O conceito de risco é intimamente relacionado a ameaças, incidentes e à 8 9 tríade de ativos de informação da CIA. Isso significa que a avaliação de risco deve lidar com a estimativa daqueles fenômenos. No entanto, o conceito de risco não está ligado a mecanismos de segurança e vulne- rabilidades. Como discutido anteriormente, os mecanismos de segurança podem ter a intenção de afetar as ameaças, obstruir incidentes, reduzir danos ou recuperar prejuízos da tríade CIA de ativos de informação. Isso significa que os mecanismos de segurança podem diminuir os riscos diminuindo a probabilidade ou a frequência esperada das ocor- rências de incidentes, ou diminuindo os danos de incidentes ocorridos. Vulnerabilidades nos mecanismos de segurança aumentarão com certeza os riscos (OLIVEIRA, 2018). Como implementar uma política de segurança da informação? Disponível em: https://youtu.be/glOsGudRuks. Modelo de Segurança CNSS O modelo de segurança de informação conhecido como modelo CNSS é um padrão do NSTISSI. A definição de segurança da informação apresentada nessa parte do ma- terial, em parte no documento da CNSS chamado de National Training Standard for Information Systems Security Professionals, ou NSTISSI No. 4011. O NSTISSC foi renomeado para o Comitê Nacional de Sistemas de Segurança (CNSS), do inglês Committee on National Security Systems. Esse documento apre- senta um modelo abrangente para segurança da informação e tornar-se um padrão am- plamente aceito de avaliação para a segurança dos sistemas de informação. O modelo, criado por John McCumber em 1991, fornece uma representação gráfica da abordagem amplamente utilizada em segurança de informática e de informação – agora conhecido como o Cu bo McCumber. O Cubo McCumber é composto de três dimensões. Se extrapolada nas três dimen- sões de cada eixo (x, y e z) que formam um cubo 3 × 3 × 3, com 27 células represen- tando áreas que devem ser abordadas para proteger os sistemas de informação atuais. Para garantir a segurança do sistema, cada uma das 27 áreas deve ser adequadamente abordada durante o processo de segurança. Por exemplo, a intersecção entre tecno- logia, integridade e armazenamento requer um controle ou a salvaguarda, e ele aborda a necessidade de usar a tecnologia para proteger a integridade das informações durante o armazenamento. Um desses controles pode ser um sistema para detectar a invasão de um host que protege a integridade das informações, alertando os administradores de segurança para a possível modificação de um arquivo. O que normalmente é deixado de fora de tal modelo é a necessidade de diretrizes e políticas que podem fornecer orienta- ção para as práticas e implementações de tecnologias. 9 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes Tec nol ogi a d e e du caç ão pol ític a Armazenamento Disponibilidade Processamento TransmissãoArmazenamento Processamento Transmissão Integridade Con�dencialidade Disponibilidade Integridade Con�dencialidade Tec nol ogi a d e e du caç ão pol ític a Figura 2 – Modelo de Segurança Cubo McCumber Componentes de um Sistema de Informação Conforme definido no Cubo McCumber, um sistema de informação (SI) é muito mais do que um hardware de computador; é todo o conjunto de software, hardware, dados, pessoas, procedimentos e redes que tornam possível o uso de recursos de informação na organização. Ess es seis componentes críticos permitem informações a serem inseri- das, processadas, produzidas e armazenadas. Cada um desses componentes possui seus pontos fortes e fracos, bem como suas próprias características e usos. Cada compo- nente do sistema de informação também tem seus próprios requisitos de segurança: • Softwares e programas: O componente de software do SI compreende aplicati- vos, sistemas operacionais e diversos utilitários. O software é talvez o componente mais difícil de proteger. A exploração de erros na programação de software é res- ponsável por uma parte substancial dos ataques cibernéticos. A indústria de tecno- logia da informação está repleta de relatórios alertando sobre buracos, bugs, pontos fracos ou outros problemas fundamentais no software. De fato, muitas facetas da vida cotidiana são afetadas por bugs de softwares e outros problemas relaciona- dos a esse tema. O software carrega a força vital da informação através de uma organização. Infelizmente, os softwares e programas são frequentemente criados sob as restrições do gerenciamento de projetos, que requerem tempo, custo e mão de obra. A segurança da informação é, muitas vezes, implementada como uma reflexão tardia, ao invés de desenvolvida como um componente integral desde o início do desenvolvimento do software (programação segura). Nesse caminho, pro- gramas e softwares tornam-se um alvo fácil de ataques acidentais ou intencionais; • Hardware: O hardware é a tecnologia física que hospeda e executa o software, armazena e transporta os dados e fornece interfaces para a entrada e remoção de informações do sistema de computação. As políticas de segurança física lidam com o hardware como um ativo físico e com a proteção de ativos físicos de danos ou roubo. Aplicando as ferramentas tradicionais de segurança física, como bloqueios 10 11 e chaves, restringe o acesso e a interação com os componentes de hardware de um sistema. Protegendo a localização física dos computadores e dos próprios com- putadores, é importante porque uma violação de segurança física pode resultar em perda de informações. Infelizmente, a maioria dos sistemas de informação são construídos em plataformas de hardware que não podem garantir qualquer nível de segurança da informação se o acesso irrestrito ao hardware for possível. Uma pes- soa mal-intencionada pode destruir fisicamente o hardware (incêndio por exemplo) ou até mesmo roubá-lo; • Dados: Os dados armazenados, processados e transmitidos por um sistema de computação devem ser protegidos. Os dados são muitas vezes o bem mais valioso possuído por uma organização e o principal alvo de ataques intencionais. Sistemas desenvolvidos nos últimos anos são susceptíveis de fazer uso de sistemas de gestão de banco de dados. Quando feito corretamente, isso deve melhorar a segurança dos dados e da aplicação. Infelizmente, muitos projetos de desenvolvimento de sistemas não fazem uso dos recursos de segurança do sistema de gerenciamento de banco de dados e, em alguns casos, o banco de dados é implementado de maneiras menos segura que os sistemas de arquivos tradicionais; • Redes: O componente SI que criou grande parte da necessidade de aumento de computadores e informações é com certeza a segurança de rede (network security). Quando os sistemas de informação estão conectados uns aos outros para formar r edes locais (LANs), e essas LANs estão conectadas a outras redes, como a Internet , novos desafios de segurança emergem rapidamente. A tecnologia física que per- mite funções de rede está se tornando cada vez mais acessível a organizações de todos os tamanhos. Aplicar as tradicionais ferramentas de segurança física, como bloqueios e chaves, para restringir o acesso e a interação com os componentes de hardware de um sistema de informação ainda é importante, mas quando sistemas de computador estão em rede, essa abordagem já não é suficiente apenas. Etapas para fornecer segurança à rede são essenciais, assim como a implementação de sistemas de alarme e intrusão (IDS ou IPS) para tornar o sistema mais seguro, o que possa permitir seu correto funcionamento; • Procedimentos: Outro componente frequentemente negligenciado de um SI é o procedimento. Os procedimentos são escritos como instruções para realizar uma tarefa específica. Quando um usuário não autorizado obtém de uma organiza- ção procedimentos, isso representa uma ameaça à integridade das informações. Por exemplo, um consultor de umbanco aprendeu a transferir fundos usando os procedimentos do centro de computação, que estavam prontamente disponíveis. Aproveitando-se de uma falha de segurança (falta de autenticação por exemplo), esse consultor ordenou que milhões de dólares fossem transferidos por transfe- rência bancária para sua própria conta. Os procedimentos de segurança negligen- tes causaram a perda de mais de dez milhões de dólares antes que a situação fosse corrigida. A maioria das organizações distribui procedimentos para que seus fun- cionários legítimos possam acessar o sistema de informações, mas muitas dessas empresas geralmente não fornecem educação adequada sobre a proteção desses procedimentos. Educar os funcionários sobre os procedimentos de salvaguarda é 11 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes tão importante quanto fisicamente proteger o sistema de informação – afinal, os procedimentos são também informações por direito próprio. Portanto, o conheci- mento dos procedimentos, como toda a informação crítica, deve ser divulgado en- tre os membros da organização apenas com base na necessidade de conhecimento desses membros. Ou seja, dê acesso e informação apenas para quem necessita desse acesso ou informação; • Pessoas: Embora muitas vezes sendo um fator negligenciado em considerações relacionadas à segurança do computador, pessoas sempre foram uma ameaça à segurança da informação. As pessoas (ou no contexto de SI, os usuários ou clientes ) podem ser o elo mais fraco no programa de segurança de informações de uma organização. E a menos que as políticas de segurança, educação e treinamento, conscientização e tecnologia sejam empregadas apropriadamente, será difícil evitar acidentalmente ou intencionalmente danos ou perdas de informações. Incidentes de Segurança da Informação Conforme o CERT.br do Comitê Gestor da Internet Brasil ou CGI, um incidente de segurança pode ser caracterizado como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de algum sistema de computação ou de alguma rede de comunicação/computadores. De uma forma geral, qualquer situação em que um ou mais ativos de informação estejam sob risco é considerada um incidente de segurança. Quem conhece um pouco sobre gestão de incidentes da ITIL provavelmente se fami- liarizará com os objetivos descritos a seguir, pois vale observar que o foco em incidentes de segurança se torna um processo mais específico e elaborado. Outro diferenciador, se comparado com o tema de gestão de incidentes clássico, é o fato desse processo agregar parte das atividades que poderiam ser de responsabilidade da gestão de eventos em gerenciamento de serviços de TIC, já que o conceito padrão define incidente como “qualquer evento adverso, confirmado ou sob suspeita “ (MILAR, 2012). São objetivos da ges tão de incidentes em sistemas da informação: • Garantir a identificação de eventos e o tratamento adequado, sobretudo na catego- rização ou não desses eventos como incidentes de segurança da informação; • Gar antir que um incidente de segurança da informação seja identificado, avaliado e respondido de uma maneira mais adequada; • Minimizar efeitos adversos de incidentes de segurança da informação (tratando esses eventos o mais brevemente possível); • Reportar as vulnerabilidades (pontos fracos) de segurança da informação, além de ter que tratá-los adequadamente; • Auxiliar e prevenir futuras ocorrências, através da manutenção de uma base de lições aprendidas (algo parecido com a base de conhecimento de dados de erros identificados). 12 13 Equipe de Resposta a Incidentes É u ma equipe de profissionais devidamente qualificados que possam lidar com inci- dentes durante o seu ciclo de vida, esses podem ser abordados como um subgrupo da gestão de incidentes com especialidade em segurança da informação. Esses profissionais podem assumir funções em tempo integral ou parcial para a análise e o tratamento de incidentes de segurança. Esses órgãos são denominados de CSIRTs (Com puter Security Incident Response Teams). Uma equipe de resposta a incidentes de segurança de computadores (ou, do inglês, Computer Security Incident Response Teams) ou apenas identificado pela sigla CSI RT são organizações que recebem relatórios de violações de segurança, realizando análises desses relatórios e respondendo aos remetentes. Existem vários tipos de CSIRT. Um CSIRT interno é montado como parte de uma organização matriz, como um governo, uma corporação, uma universidade ou uma rede de pesquisa. CSIRTs nacionais (um tipo de CSIRT interna), por exemplo, supervisionam o tratamento de incidentes para um país inteiro. Normalmente, as CSIRT internas se reúnem periodicamente ao longo do ano para tarefas proativas, como testes de DR (Disaster Recovery), ou conforme necessário, no caso de uma violação de segurança. As CSIRTs externas fornecem serviços pagos em uma base contínua ou conforme a necessidade de seus contratantes (MILAR, 2012). O CERT (Computer Emergency Readiness Team) lista os seguintes papéis entre os membros do CSIRT: • Gerente ou líder de equipe; • Gerentes assistentes, supervisores ou líderes de grupo; • Hotline, Help Desk ou equipe de triagem; • Manipuladores de incidentes; • Manipuladores de vulnerabilidade; • Equipe de análise de artefatos; • Especialistas em plataformas; • Treinadores e instrutores. Os serviços específicos fornecidos variam de um CSIRT para outro. Um incidente de segurança de informática pode envolver uma violação real ou suspeita ou ainda um ato intencional que pode causar uma vulnerabilidade ou violação. Incidentes típicos incluem a introdução de vírus ou worms em uma rede, ataques DoS (negação de serviço), altera- ção não autorizada de software ou hardware e roubo de identidade de indivíduos ou ins- tituições. O hacking (mais correto cracking) em geral pode ser considerado um incidente de segurança, a menos que os criminosos tenham sido deliberadamente contratados com o propósito específico de testar um computador ou rede em busca de vulnerabilida- des (hakerismo ético) e, nesse caso, os hackers podem fazer parte da CSIRT, em uma função preventiva. As CSIRTs podem fornecer serviços proativos, como treinamento de segurança do usuário final, além de responder a incidentes. 13 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes Respondendo rapidamente a incidentes de segurança em https://youtu.be/48QZLZupvtA. O tempo de resposta constitui uma consideração crítica na montagem, manu tenção e implantação de um CSIRT eficaz. Uma resposta rápida, precisa e direcionada pode minimizar os danos gerais a finanças, hardware e software causados por um inciden- te específico. Outra consideração importante envolve a capacidade do CSIRT para rastrear os autores de um incidente, para que os culpados possam ser desligados e processados efetivamente. Uma terceira consideração envolve o “endurecimento” do software e da infraestrutura para minimizar o número de incidentes que ocorrem ao longo do tempo. Termos alternativos para CSIRT incluem CIRC (Computer Incident Response Capability), CIRT (Computer Incident Response Team), IRC (Incident Response Center ou Incident Response Capability), IRT (Incident Response Team), SERT (Security Emergency Response Team) e SIRT (Security Incident Response Team). As CSIRTs internas costumam usar um dos termos junto com um identificador. Criando um Grupo de Respostas a Incidentes O ciclo de vida de um incidente de segurança da informação é definido por atividades do processo que podemos descrever em sequência: Atividade 01 – Planejamento do Processo Cuidar de incidentes corriqueiros ou cotidianos, tais como problemas em com- putadores desktops e erros de software, não é mais tarefa simples. Quando se trata de incidentes de segurança da informação, a primeira coisa que se imagina é que devem existir atividades mais complexas e que tratarão casos que não ocorrem a todo instante. Sobre a políticade gestão de incidentes de segurança da informação, sem ignorar os comprometimentos da alta direção e políticas de gestão de riscos atualizados , podemos citar: • Criação e estabelecimento da equipe de resposta a incidentes; • Fluxo de incidentes de segurança da informação; • Planejamento e capacitação da equipe de suporte técnico especializado; • Ferramentas de testes, análise e monitoramento; • Ferramenta de registro dos incidentes e eventos; • Conscientização da equipe em relação à sensibilidade envolvida com o gerencia- mento de incidentes em segurança da informação; • Outros. 14 15 Atividade 02 – Detecção e Comunicação Envolve a detecção (normalmente auxiliada através de ferramentas de automação e software), coleta de informações associadas e relatórios sobre ocorrências a respeito de segurança da informação, vulnerabilidades de segurança que não foram antes tratadas e exploradas, assim como os incidentes propriamente ditos, sejam eles provocados de forma intencional ou não. Em resumo, de uma maneira mais simplificada, os objetivos dessa atividade é detectar vulnerabilidades, ocorrências e incidentes. Atividade 03 – Avaliação e Decisão O principal objetivo dessa atividade é avaliar os eventos de segurança da informação e tomar decisão sobre se é ou não um incidente de segurança da informação. Para isso, é necessário realizar uma avaliação das informações mais relevantes associadas com uma ocorrência de eventos de segurança da informação e poder classificar o evento como um incidente ou não. Podemos descrever subatividades para esta atividade mestre: • Decidir sobre a classificação (como evento ou incidente ); • Utilizar as bases de dados e procedimentos para investigação, assim como mantê- -las atualizadas; • Identificação de serviços afetados; • Identificar os impactos nos ativos da informação considerando os critérios da infor- mação como a CIA: confidencialidade, integridade e disponibilidade; • Avaliar a situação com base nas classificações de eventos/incidentes de segurança da informação; • Classificar e priorizar o incidente ou evento identificado; • Atribuir às equipes as responsabilidades para o tratamento do incidente ou eventos; • Realizar o escalonamento mais adequado possível; • Relatar o evento ou incidente a áreas interessadas; • Fornecer os procedimentos adequados para cada responsável de área. Atividade 04 – Responder ao Incidente de Segurança As atividades dessa atividade já partem do pressuposto de que a ocorrência foi clas- sificada como incidente de segurança e, nesse caso, deve ser tratada no contexto do processo. Podemos segmentá-las em subatividades: • Conduzir ações conforme acordado na atividade de avaliação e decisão; • Escalonamento para equipes responsáveis pela gestão da continuidade, quando o impacto da situação for percebido como um desastre; • Dar respostas a incidentes de segurança da informação, incluindo a análise forense computacional; 15 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes • Instigar a resposta requerida, independe do responsável que irá tratá-la; • Atualização de todos as áreas envolvidas sobre o andamento do tratamento do incidente identificado; • Resposta para conter e eliminar o incidente de segurança da informação; • Recuperação dos serviços impactados; • Reconhecimento de provas eletrônicas e armazenamento seguro dessas provas para que, caso seja necessária uma perseguição legal ou disciplinar do autor, elas possam ser apresentadas. Atividade 05 – Atualizar Lições Aprendidas Ao chegar nessa atividade desse processo é importante para a manutenção da Gestão de Sistema da Informação de forma adequada em sua instituição. Podemos descrê-la através destas subatividades: • Identificação e realização de melhorias em relação à gestão de informações de incidentes de segurança; • Identificação de novos procedimentos e conhecimentos a serem adicionados às bases de dados utilizadas pelo time de resposta a incidentes de segurança; • Identificação das lições aprendidas; • Identificação de melhorias de processos de segurança da informação; • Identificação de melhorias para a avaliação de riscos no contexto de segurança da informação e dos resultados das análises realizadas; • Identificação de melhorias para processos, procedimentos, normas e controles de maneira global que serão utilizados para a proteção da informação da instituição; • Comunicação a todas as áreas interessadas sobre as necessidades de melhorias identificadas; • Identificação e estudo de novas tendências, assim como propostas para a elimina- ção das mesmas; • Garantia de que todas as melhorias identificadas serão aplicadas. As boas práticas em gestão de incidentes de sistemas de informação se sobrepõem aos processos de gerenciamento de incidentes e problemas do ITIL e, por esse moti- vo, esses itens têm uma certa familiaridade. É importante lembrar que atualizar lições aprendidas é uma das melhores atividades de melhoria contínua e que faz parte e ques- tão de sobrevivência e apoio ao seu sistema de SGSI (Sistema Gestão de Segurança da Informação). 16 17 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Livros Fundamentos do Gerenciamento de Serviços de TI FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI. 2. ed. São Paulo: Brasport, 2018. Governança de Segurança da Informação MANOEL, S. Governança de Segurança da Informação. 1. ed. São Paulo: Brasport, 2014. Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002 HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002. 3. ed. São Paulo: Pearson, 2018. CCNP Routing and Switching Official Cert Library KEVIN, W.; LACOSTE, R.; HUCABY, D. CCNP Routing and Switching Official Cert Library. Indianápolis, EUA: Editora Cisco Press, 2015. 17 UNIDADE Resposta, Tratamento e Gerenciamento de Incidentes Referências FER NANDES, A. A.; ABREU, V. F. Implantando a Governança de TI. 4. ed. São Paulo: Brasport, 2018. MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST – Computer Security Incident Handling Guide, Revision 2. EUA: 2012. NIELES, M.; DEMPSEY, K.; PILLITERI, V. NIST – An Introduction to Information Security, Revision 1. EUA: NIST, 2017. OLIVEIRA, B. S. Métodos Ágeis e Gestão de Serviços de TI. 1. ed. São Paulo: Brasport, 2018. OLIVEIRA, F. B. Tecnologia da Informação e Comunicação. 1. ed. São Paulo: Pearson, 2012. 18