Este documento tem como finalidade a gestão de incidentes de segurança de
informação. Tendo como objetivo criar diretrizes e procedimentos claros para
garantir que os incidentes de segurança da informação sejam registrados,
notificados e tratados de forma correta.
Também busca a partir da melhoria contínua e do uso dos históricos de
incidentes criar medidas de prevenção e proteção contra a repetição de
incidentes, assim como alimentar a análise de riscos e revisão dos demais
controles e processos de segurança.
Este planejamento se baseia em todas as atividades, controles e processos do
Sistema de Gestão da Segurança da Informação (SGSI).
Este documento é público, tendo seu acesso destinado aos colaboradores da
2CLIX TECNOLOGIA EIRELI e seus clientes.
RESPONSABILIDADES
Todo colaborador tem a responsabilidade de notificar um evento de segurança
à equipe de Segurança ou responsável da área afetada.
Um evento de segurança é considerado como qualquer evento que afete a
disponibilidade, integridade e confidencialidade da organização e das
informações dela e seus clientes. Dessa forma englobam eventos ocorridos nas
dependências da organização e em seus ativos físicos, assim como em seus
ativos digitais e aplicações.
A equipe de Segurança deve registrar todos os reportes de eventos que forem
comunicados à ela pelos meios de comunicação corporativos. Esse registros
devem ser feitos seguindo o modelo de Registro de Ocorrências localizado
numa pasta específica dentro dos arquivos de Segurança de Informação.
Uma vez registrada a ocorrência a equipe de segurança também deve tratá-la,
coletando evidências nas ferramentas de auditoria e monitoramento, assim
como deve gerenciar a comunicação dos incidentes para as áreas e pessoas
afetadas. A equipe de Segurança deve também iniciar os protocolos internos
de normalização do sistema.
A equipe de Administração deve se responsabilizar pelo contato com clientes
e fornecedores e autoridades, devem ser munidos com os relatórios e
evidências que a equipe de segurança proveu e devem dar início aos
protocolos de normalização do sistema que exigem contatos externos.
É de responsabilidade da equipe de Segurança e Administração a elaboração de
um plano de controle e resolução, assim como a disponibilização de boletins
com a informação de prazos e condições do sistema durante a resolução do
incidente.
Cada incidente deve ser tratado com seriedade e, dependendo da sua
gravidade, a equipe de Administração pode convocar uma reunião
extraordinária com a equipe de segurança e representantes das equipes de
suporte, desenvolvimento e projetos para a definição do melhor caminho de
resolução para o incidente.
NOTIFICAÇÃO
As notificações de eventos ou incidentes podem vir de diversas formas
dependendo de como que este evento foi detectado.
SIEM
Eventos de segurança detectados pelo SIEM e pela equipe que faz o
monitoramento dos logs coletados por este sistema, devem ser contatados
diretamente ao Administrador do Sistema ou o Gerente de Segurança com
informações e evidencias referentes ao evento de segurança.
Indisponibilidades dos Ambientes WEB
Eventos relacionados com a disponibilidade dos ambientes web, servidores e
bancos de dados são detectados pela aplicação de monitoramento. Essa
aplicação detecta indisponibilidades e o grau de efeito delas e já cria
automaticamente um registro enviando por e-mail para os usuários
definidos(Gerente de Segurança e Administrador do Sistema) um alerta
avisando sobre onde foi a indisponibilidade, a gravidade dela e há quanto
tempo ela está acontecendo.
Nessa aplicação também podem ser feitos reportes personalizados permitindo
que, mesmo que os scanners e as automações não detectem alguma
indisponibilidade parcial, os colaboradores podem gerar um.
Chamados de Usuários/Clientes
Chamados de comportamentos suspeitos do sistema reportados pelos
clientes, assim como suspeitas ou ocorrências de segurança em seus ambientes
que chegam na equipe de Suporte devem ser encaminhadas para a equipe de
segurança pelos meios de comunicação da empresa em conjunto com todas as
evidências coletadas do cliente.
Eventos Internos
Se durante o uso de suas estações de trabalho, cumprimento de suas funções
ou uso dos ambientes físicos da Organização um evento suspeito for
identificado a equipe de Segurança e Administrador do Sistema devem ser
acionados pelo colaborador que encontrou o problema por meio das vias de
comunicação da organização. Essa notificação inicial deve ser seguida pela
coleta de evidências e registros do evento pela equipe de Segurança.
Evento Críticos
Quando um evento de segurança é de alta criticidade, cujo impacto deve ser
mitigado com velocidade e urgência, a notificação deve ser feita diretamente
para o Administrador do sistema ou as Autoridades dependendo da ocorrência,
sendo os protocolos de normalização e mitigação de dados iniciados
juntamente dos processos de registros. A equipe de Segurança deve agir junto
com o Administrador do Sistema para que as evidências sejam asseguradas, os
afetados sejam notificados e a normalização seja alcançada o mais rápido
possível.
VULNERABILIDADE
Toda vulnerabilidade encontrada deve ser notificada, mesmo que seja apenas
uma suspeita de vulnerabilidade ou um falso positivo de scanner.
Colaboradores ou Fornecedores
Quando a vulnerabilidade ou suspeita é encontrada por um membro das equipes
de colaboradores ou fornecedores, a equipe de Segurança deve ser comunicada
pelos meios de comunicação da organização. Essa notificação deve ser
registrada pela equipe de Segurança que deve começar uma investigação para
averiguar a existência e potencial impacto da vulnerabilidade e
preparar um comunicado com um pequeno resumo das melhorias para a segurança
que a identificação e correção da vulnerabilidade vão causar.
Clientes e Usuários
Vulnerabilidade ou suspeitas encontradas pelos clientes devem ser
comunicadas pelas vias de contato com a organização, passando pelo Suporte
tanto pelo help center, e-mail ou telefone. Nestes casos o suporte deve
coletar todas as informações e evidências que o cliente encontrou que
corroboram com a existência da vulnerabilidade e deve fazer um e-mail
condensando todas essas informações para a equipe de Segurança. Durante esse
contato, a equipe de Suporte deve orientar o usuário a não explorar a
vulnerabilidade assim como agradecer pelo contato.
A equipe de segurança deve investigar a vulnerabilidade e gerar um
comunicado oficial sobre o risco e as medidas de controle e correção
aplicadas para a vulnerabilidade. Este comunicado deve ser enviado pelo
Suporte para o cliente que realizou a notificação.
AVALIAÇÃO DE EVENTOS
Os eventos devem ser avaliados dependendo de sua gravidade e impacto,
eventos de criticidade baixa a média devem ser avaliados pela equipe de
Segurança que deve juntar todas as evidências e registrá-las de acordo nas
pastas e diretórios dedicados ao armazenamento seguro dessas informações.
Uma vez avaliados os eventos e identificados suas causas e impactos a equipe
de segurança deve iniciar as ações necessárias para normalização e correção
do incidente.
Eventos de criticidade alta ou muito alta devem ser avaliados pela equipe de
Segurança em conjunto com o Administrador do sistema e, dependendo do
evento, com um representante da equipe de suporte e desenvolvimento. Nestes
eventos os registros e a reunião de evidências devem ocorrer concomitante
com as ações de normalização e correção das causas do incidente.
Caso o evento notificado seja avaliado como um Incidente de Segurança, a
coleta de evidências deve iniciar a partir das fontes que identificaram o
evento e avançar pelas trilhas de auditoria, contato com o Data Center e
fornecedores para verificação de status ou registros específicos nos seus
serviços prestados, verificação nos planos de mudanças assim como revisão de
códigos. Dependendo da gravidade e do tipo de incidente pode ser necessária
a contratação de um especialista para realizar análises forenses nas
máquinas, redes e demais ativos afetados.
Todas as evidências coletadas devem ser salvas tanto nos repositórios
digitais da empresa, quanto no servidor de backup para manter redundância.
Caso o evento notificado não seja considerado um evento de segurança, um
relatório deve ser gerado explicando as causas do evento, os impactos e as
evidências justificando o porquê de não ser considerado um Incidente de
Segurança.
RESPOSTAS A INCIDENTES
Depois de identificado e comprovado um incidente de segurança a equipe de
Segurança junto com o Administrador do sistema devem encontrar a causa do
problema e seu escopo de impacto.
Uma vez encontrada a causa, um diagnóstico deve ser gerado com as ações
necessárias para a normalização e, se possível, correção do problema que
causou o incidente. Este diagnóstico então é passado para os colaboradores e
fornecedores necessários para que as ações corretivas sejam tomadas e o
incidente seja normalizado.
Ao mesmo tempo, enquanto o processo de normalização ocorre, todos aqueles
afetados pelo incidente devem ser notificados sobre a situação atual,
previsão de normalização e previsão de correção total caso seja um incidente
que precise de alguma manutenção.
COLETA DE EVIDÊNCIAS
Evidências serão todas as informações que forneçam comprovação sobre a
ocorrência do evento, suas causas ou impactos, dessa forma a coleta de
evidências começa com o material fornecido no momento da notificação do
evento, como: captura de tela, e-mails de alerta de interações suspeitas,
alertas de antivírus, proteção de rede ou firewall até mesmo fotos. A partir
deste ponto de partida a equipe de Segurança deve buscar por evidências das
trilhas de auditoria, consultando Logs tanto da plataforma quanto dos
sistemas internos, o SIEM, Banco de Dados, IDS e Azure serão consultados em
busca de registros que corroborem com o incidente notificado.
Caso o incidente ocorra em algum ativo físico, o objeto será retirado da
rede e levado a uma consultoria para realização de uma análise forense.
Uma vez com todas as evidências da ocorrência e impacto do incidente
colhidas elas serão estudadas para encontrar a causa do incidente e definir
o melhor curso de ação para corrigir esta causa e normalizar tudo que foi
impactado.
MELHORIA CONTÍNUA
Ao final de todo processo de tratamento dos Incidentes, quando o sistema e
redes estiverem normalizados e as causas forem identificadas e tratadas um
relatório final deverá ser registrado pela equipe de Segurança contendo o
feedback da ocorrência, controles usados para a correção e possibilidades de
melhoria nos processos, controles ou equipamentos para que o incidente não
ocorra novamente.
Com este relatório as melhorias propostas podem ser passadas para a equipe
de Administração seguindo o processo de Mudanças para a implementação das
melhorias.
Treinamentos também podem ser agendados para reforçar processos ou realizar
processos de reciclagem com os colaboradores que necessitem.
GESTÃO DE DOCUMENTOS
Este documento é válido a partir da sua aprovação mais recente e é de
responsabilidade da equipe de administração da 2CLIX TECNOLOGIA EIRELI.
O ciclo de atualização deste documento é anual e deve ser realizado
sempre a partir da avaliação de eficácia e adequação deste documento com as
demais políticas e processos da empresa.
Para garantir uma avaliação concisa e clara, os seguintes critérios de
avaliação serão utilizados:
- Retorno das partes interessadas a respeito da eficácia e impacto do SGSI;
- Evolução do número de incidentes de segurança reincidentes;
- Tempo de resposta aos Incidentes;
- Evolução dos incidentes causados por uso indevido de equipamentos
pessoais; - Retorno a partir de treinamentos;
- Evolução do número de incidentes de segurança graves causados pela falta
de notificação pelos clientes ou colaboradores; - Feedback dos Clientes e Colaboradores após tratativas de Incidentes
ocorridos; - Evolução de ocorrências causadas por definição confusa ou faltosa dos
procedimentos de gestão dos incidentes.
