Finalidade, Escopo e Acesso

Este documento tem como finalidade a gestão de incidentes de segurança de informação. Tendo como objetivo criar diretrizes e procedimentos claros para garantir que os incidentes de segurança da informação sejam registrados, notificados e tratados de forma correta.

Também busca a partir da melhoria contínua e do uso dos históricos de incidentes criar medidas de prevenção e proteção contra a repetição de incidentes, assim como alimentar a análise de riscos e revisão dos demais controles e processos de segurança.

Este planejamento se baseia em todas as atividades, controles e processos do Sistema de Gestão da Segurança da Informação (SGSI).

Este documento é público, tendo seu acesso destinado aos colaboradores da 2CLIX TECNOLOGIA EIRELI e seus clientes.

Responsabilidades

Todo colaborador tem a responsabilidade de notificar um evento de segurança à equipe de Segurança ou responsável da área afetada. 

Um evento de segurança é considerado como qualquer evento que afete a disponibilidade, integridade e confidencialidade da organização e das informações dela e seus clientes. Dessa forma englobam eventos ocorridos nas dependências da organização e em seus ativos físicos, assim como em seus ativos digitais e aplicações.

A equipe de Segurança deve registrar todos os reportes de eventos que forem comunicados à ela pelos meios de comunicação corporativos. Esse registros devem ser feitos seguindo o modelo de Registro de Ocorrências localizado numa pasta específica dentro dos arquivos de Segurança de Informação.

Uma vez registrada a ocorrência a equipe de segurança também deve tratá-la, coletando evidências nas ferramentas de auditoria e monitoramento, assim como deve gerenciar a comunicação dos incidentes para as áreas e pessoas afetadas. A equipe de Segurança deve também iniciar os protocolos internos de normalização do sistema.   

    A equipe de Administração deve se responsabilizar pelo contato com clientes e fornecedores e autoridades, devem ser munidos com os relatórios e evidências que a equipe de segurança proveu e devem dar início aos protocolos de normalização do sistema que exigem contatos externos.

    É de responsabilidade da equipe de Segurança e Administração a elaboração de um plano de controle e resolução, assim como a disponibilização de boletins com a informação de prazos e condições do sistema durante a resolução do incidente.

    Cada incidente deve ser tratado com seriedade e, dependendo da sua gravidade, a equipe de Administração pode convocar uma reunião extraordinária com a equipe de segurança e representantes das equipes de suporte, desenvolvimento e projetos para a definição do melhor caminho de resolução para o incidente.

Notificação

As notificações de eventos ou incidentes podem vir de diversas formas dependendo de como que este evento foi detectado.

SIEM

Eventos de segurança detectados pelo SIEM e pela equipe que faz o monitoramento dos logs coletados por este sistema, devem ser contatados diretamente ao Administrador do Sistema ou o Gerente de Segurança com informações e evidencias referentes ao evento de segurança.

Indisponibilidades dos Ambientes WEB

Eventos relacionados com a disponibilidade dos ambientes web, servidores e bancos de dados são detectados pela aplicação de monitoramento. Essa aplicação detecta indisponibilidades e o grau de efeito delas e já cria automaticamente um registro enviando por e-mail para os usuários definidos(Gerente de Segurança e Administrador do Sistema) um alerta avisando sobre onde foi a indisponibilidade, a gravidade dela e há quanto tempo ela está acontecendo.

Nessa aplicação também podem ser feitos reportes personalizados permitindo que, mesmo que os scanners e as automações não detectem alguma indisponibilidade parcial, os colaboradores podem gerar um.

Chamados de Usuários/Clientes

Chamados de comportamentos suspeitos do sistema  reportados pelos clientes, assim como suspeitas ou ocorrências de segurança em seus ambientes que chegam na equipe de Suporte devem ser encaminhadas para a equipe de segurança pelos meios de comunicação da empresa em conjunto com todas as evidências coletadas do cliente.

Eventos Internos

Se durante o uso de suas estações de trabalho, cumprimento de suas funções ou uso dos ambientes físicos da Organização um evento suspeito for identificado a equipe de Segurança e Administrador do Sistema devem ser acionados pelo colaborador que encontrou o problema por meio das vias de comunicação da organização. Essa notificação inicial deve ser seguida pela coleta de evidências e registros do evento pela equipe de Segurança.

Evento Críticos

Quando um evento de segurança é de alta criticidade, cujo impacto deve ser mitigado com velocidade e urgência, a notificação deve ser feita diretamente para o Administrador do sistema ou as Autoridades dependendo da ocorrência, sendo os protocolos de normalização e mitigação de dados iniciados juntamente dos processos de registros. A equipe de Segurança deve agir junto com o Administrador do Sistema para que as evidências sejam asseguradas, os afetados sejam notificados e a normalização seja alcançada o mais rápido possível.

Vulnerabilidades

Toda vulnerabilidade encontrada deve ser notificada, mesmo que seja apenas uma suspeita de vulnerabilidade ou um falso positivo de scanner. 

Colaboradores ou Fornecedores

Quando a vulnerabilidade ou suspeita é encontrada por um membro das equipes de colaboradores ou fornecedores, a equipe de Segurança deve ser comunicada pelos meios de comunicação da organização. Essa notificação deve ser registrada pela equipe de Segurança que deve começar uma investigação para averiguar  a existência e  potencial impacto da vulnerabilidade e preparar um comunicado com um pequeno resumo das melhorias para a segurança que a identificação e correção da vulnerabilidade vão causar.

Clientes e Usuários

Vulnerabilidade ou suspeitas encontradas pelos clientes devem ser comunicadas pelas vias de contato com a organização, passando pelo Suporte tanto pelo help center, e-mail ou telefone. Nestes casos o suporte deve coletar todas as informações e evidências que o cliente encontrou que corroboram com a existência da vulnerabilidade e deve fazer um e-mail condensando todas essas informações para a equipe de Segurança. Durante esse contato, a equipe de Suporte deve orientar o usuário a não explorar a vulnerabilidade assim como agradecer pelo contato.

A equipe de segurança deve investigar a vulnerabilidade e gerar um comunicado oficial sobre o risco e as medidas de controle e correção aplicadas para a vulnerabilidade. Este comunicado deve ser enviado pelo Suporte para o cliente que realizou a notificação.

Avaliação de Eventos

Os eventos devem ser avaliados dependendo de sua gravidade e impacto, eventos de criticidade baixa a média devem ser avaliados pela equipe de Segurança que deve juntar todas as evidências e registrá-las de acordo nas pastas e diretórios dedicados ao armazenamento seguro dessas informações. Uma vez avaliados os eventos e identificados suas causas e impactos a equipe de segurança deve iniciar as ações necessárias para normalização e correção do incidente.

Eventos de criticidade alta ou muito alta devem ser avaliados pela equipe de Segurança em conjunto com o Administrador do sistema e, dependendo do evento, com um representante da equipe de suporte e desenvolvimento. Nestes eventos os registros e a reunião de evidências devem ocorrer concomitante com as ações de normalização e correção das causas do incidente. 

Caso o evento notificado seja avaliado como um Incidente de Segurança, a coleta de evidências deve iniciar a partir das fontes que identificaram o evento e avançar pelas trilhas de auditoria, contato com o Data Center e fornecedores para verificação de status ou registros específicos nos seus serviços prestados, verificação nos planos de mudanças assim como revisão de códigos. Dependendo da gravidade e do tipo de incidente pode ser necessária a contratação de um especialista para realizar análises forenses nas máquinas, redes e demais ativos afetados.

Todas as evidências coletadas devem ser salvas tanto nos repositórios digitais da empresa, quanto no servidor de backup para manter redundância.

Caso o evento notificado não seja considerado um evento de segurança, um relatório deve ser gerado explicando as causas do evento, os impactos e as evidências justificando o porquê de não ser considerado um Incidente de Segurança. 

Resposta a Incidentes

Depois de identificado e comprovado um incidente de segurança a equipe de Segurança junto com o Administrador do sistema devem encontrar a causa do problema e seu escopo de impacto.

Uma vez encontrada a causa, um diagnóstico deve ser gerado com as ações necessárias para a normalização e, se possível, correção do problema que causou o incidente. Este diagnóstico então é passado para os colaboradores e fornecedores necessários para que as ações corretivas sejam tomadas e o incidente seja normalizado.

 Ao mesmo tempo, enquanto o processo de normalização ocorre, todos aqueles afetados pelo incidente devem ser notificados sobre a situação atual, previsão de normalização e previsão de correção total caso seja um incidente que precise de alguma manutenção.

Coleta de evidências

Evidências serão todas as informações que forneçam comprovação sobre a ocorrência do evento, suas causas ou impactos, dessa forma a coleta de evidências começa com o material fornecido no momento da notificação do evento, como: captura de tela, e-mails de alerta de interações suspeitas, alertas de antivírus, proteção de rede ou firewall até mesmo fotos. A partir deste ponto de partida a equipe de Segurança deve buscar por evidências das trilhas de auditoria, consultando Logs tanto da plataforma quanto dos sistemas internos, o SIEM, Banco de Dados, IDS e Azure serão consultados em busca de registros que corroborem com o incidente notificado.

Caso o incidente ocorra em algum ativo físico, o objeto será retirado da rede e levado a uma consultoria para realização de uma análise forense.

 Uma vez com todas as evidências da ocorrência e impacto do incidente colhidas elas serão estudadas para encontrar a causa do incidente e definir o melhor curso de ação para corrigir esta causa e normalizar tudo que foi impactado.

Melhoria Contínua

Ao final de todo processo de tratamento dos Incidentes, quando o sistema e redes estiverem normalizados e as causas forem identificadas e tratadas um relatório final deverá ser registrado pela equipe de Segurança contendo o feedback da ocorrência, controles usados para a correção e possibilidades de melhoria nos processos, controles ou equipamentos para que o incidente não ocorra novamente.

Com este relatório as melhorias propostas podem ser passadas para a equipe de Administração seguindo o processo de Mudanças para a implementação das melhorias.

Treinamentos também podem ser agendados para reforçar processos ou realizar processos de reciclagem com os colaboradores que necessitem.

Gestão de Documentos

Este documento é válido a partir da sua aprovação mais recente e é de responsabilidade da equipe de administração da 2CLIX TECNOLOGIA EIRELI.  O ciclo de atualização deste documento é anual e deve ser realizado sempre a partir da avaliação de eficácia e adequação deste documento com as demais políticas e processos da empresa.

Para garantir uma avaliação concisa e clara, os seguintes critérios de avaliação serão utilizados:

• Retorno das partes interessadas a respeito da eficácia e impacto do SGSI;
• Evolução do número de incidentes de segurança reincidentes;
• Tempo de resposta aos Incidentes;
• Evolução dos incidentes causados por uso indevido de equipamentos pessoais;
• Retorno a partir de treinamentos;
• Evolução do número de incidentes de segurança graves causados pela falta de notificação pelos clientes ou colaboradores;
• Feedback dos Clientes e Colaboradores após tratativas de Incidentes ocorridos;
• Evolução de ocorrências causadas por definição confusa ou faltosa dos procedimentos de gestão dos incidentes.