Resposta a incidente de Segurança da Informação, você sabe diferenciar?

Queridos leitores muito boa noite e me desculpem por sumir e não postar mais nada nos últimos 5 meses, prometo que tentarei voltar com força total.

No post de hoje quero comentar e explicar um pouco sobre o que eu vejo a respeito da resposta a incidente de segurança da informação.

O que eu vejo?

Na empresas onde terceirizam um trabalho de help desk normalmente os eventos são recebidos em uma ferramenta de alerta onde tratam da forma que o ITIL nos ensina:

– O objetivo do Gerenciamento de Incidentes é restaurar o serviço ao estado normal o mais rápido possível, e para minimizar o impacto negativo sobre as operações de negócios (Lembrando da necessidade da abertura de um chamado ou caso).

Podemos utilizar esse mesmo conceito para um incidente de segurança da informação? No meu ponto de vista a resposta está clara, NÃO! mas, as empresas irão tratar, responder e ver a importância de um incidente de segurança da informação quando a mesma já tiver sido atacada, o que já trouxe perda na empresa, ruim isso né?

Pois bem, como que no meu ponto de vista seria o método ou jeito correto para tratar um incidente?

O correto é ter duas vertentes:

  • Resposta a Incidente: Onde recebem um alerta já definido e conhecido na empresa, logo, existe um procedimento a ser seguido para que a solução seja alcançada (claro que muitos incidentes acontecendo em uma determinada frequencia o problem management deve atuar e se preciso com o time de segurança para entender e verificar um possível ameaça).
  • Resposta a Incidentes de SI: Onde com um time de resposta a incidente de SI (CSIRT) irá atuar na prevenção e reativamente como por exemplo:
    • Um vírus na rede (Reativamente)
    • Verificar vulnerabilidades no ambiente com softwares não homologados ou patch de atualização de segurança do windows não instaladas. (Prevenção)

Claro que o assunto resposta a incidentes de segurança da informação vai muito longe e poderíamos fazer um livro sobre o assunto, além do mais quando falamos do CSIRT, uma empresa que tem um time assim e que desempenhas todas as atividades mencionadas abaixo e até um pouco mais é a solução para aquela empresa onde a informação é sim algo que devemos nos preocupar, imagine um incidente de segurança da informação em uma rede de um banco parando por minutos as transações? (Quanto dinheiro esse banco não perdeu?) ou até mesmo em um sistema de Car Parking onde ninguem pode entrar pois o sistema foi invadido? bom, abaixo estão alguns pontos que vejo que devem ter um CSIRT:

  • Monitorar os sistemas buscando vulnerabilidade violações de segurança.
  • Documentar e classificar os incidentes de segurança.
  • Disseminar a conscientização da segurança dentro da empresa para ajudar a mitigar  os incidentes em sua empresa.
  • Suportar o time de auditoria do sistema e da rede por meio de processos
  • Manter o time antenado sobre novas vulnerabilidades
  • E etc …

Pensem nesse texto e compartilhem suas experiências e digam se eu estou enganado, sei que podemos acrescentar muito ainda nesse texto mas minha ideia aqui é somente fazer com que pensemos sobre o tema.

 

Até mais breve pessoal e abrigado novamente.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s