6.11 6.11 - Prevenção e tratamento de incidentes de segurança da informação.
Prevenção e tratamento de incidentes de segurança da informação são atividades essenciais para garantir a proteção dos dados pessoais e dos ativos de informação de uma organização.
Um incidente de segurança da informação é qualquer evento que comprometa a confidencialidade, a integridade ou a disponibilidade das informações.
Alguns exemplos de incidentes de segurança da informação são: ataques cibernéticos, vazamento de credenciais, uso indevido de recursos, perda ou roubo de dispositivos, entre outros.

Para prevenir incidentes de segurança da informação, é necessário adotar medidas de segurança técnica e administrativa, tais como:
  • Construir políticas de segurança que definam as regras e os procedimentos para a gestão do ambiente, dos ativos e dos usuários. Por exemplo, uma política de segurança pode estabelecer os requisitos mínimos para a criação e o uso de senhas, as normas para o acesso remoto aos sistemas e as responsabilidades dos usuários em relação à segurança da informação.
  • Prever vulnerabilidades e realizar testes periódicos para identificar e corrigir falhas nos sistemas e nas redes. Por exemplo, uma ferramenta de varredura pode ser utilizada para verificar se há portas abertas, serviços desnecessários ou configurações incorretas nos servidores e nos dispositivos da rede.
  • Defender o ambiente com ferramentas e soluções adequadas, como antivírus, firewall, criptografia, backup, entre outras. Por exemplo, um antivírus pode detectar e remover arquivos maliciosos que possam infectar os computadores, um firewall pode filtrar o tráfego de entrada e saída da rede e impedir conexões não autorizadas, uma criptografia pode proteger os dados armazenados ou transmitidos contra acessos indevidos e um backup pode garantir a recuperação dos dados em caso de perda ou corrupção.
  • Promover a conscientização e a capacitação dos integrantes da organização sobre as boas práticas de segurança da informação. Por exemplo, uma campanha de educação pode divulgar dicas e orientações sobre como evitar golpes por e- mail, como proteger as informações pessoais e profissionais, como reconhecer e reportar incidentes de segurança da informação e como contribuir para a cultura de segurança da organização.
  • Implementar mecanismos de controle de acesso e de autenticação forte, como senhas complexas, privilégios mínimos e fatores múltiplos. Por exemplo, uma senha complexa pode conter letras maiúsculas e minúsculas, números e símbolos especiais, um privilégio mínimo pode restringir o acesso dos usuários apenas aos recursos necessários para o desempenho de suas funções e um fator múltiplo pode exigir uma confirmação adicional além da senha, como um código enviado por SMS ou um token gerado por um aplicativo.
  • Monitorar e auditar os logs de acesso e as atividades dos usuários, buscando por indícios de ações maliciosas ou uso indevido de credenciais. Por exemplo, um sistema de monitoramento pode gerar alertas em tempo real sobre tentativas de acesso não autorizado ou anormal aos sistemas ou aos dados sensíveis, um sistema de auditoria pode registrar as informações sobre quem acessou o quê, quando e como nos sistemas ou nos dados sensíveis e um sistema de análise pode identificar padrões ou anomalias no comportamento dos usuários que possam indicar fraudes ou violações.
  • Cancelar ou bloquear contas que não sejam mais utilizadas ou que estejam inativas ou afastadas. Por exemplo, uma rotina automatizada pode verificar periodicamente se há contas que não foram acessadas por um determinado período de tempo ou que pertencem a usuários que foram desligados da organização e cancelá-las ou bloqueá-las para evitar que sejam usadas indevidamente por terceiros.
  • Estabelecer processos de gestão de riscos de segurança da informação, observando os graus de sigilo e as restrições de acesso das informações. Por exemplo, uma metodologia de gestão de riscos pode auxiliar na identificação, na avaliação, na priorização, no tratamento e no monitoramento dos riscos de segurança da informação que possam afetar a organização, uma classificação de informações pode definir os níveis de sigilo das informações de acordo com o seu grau de importância, de sensibilidade ou de criticidade e uma matriz de acesso pode determinar quem pode acessar, visualizar, modificar ou compartilhar as informações de acordo com o seu nível de sigilo.

Para tratar incidentes de segurança da informação, é necessário seguir um processo estruturado que envolve as seguintes etapas:
  • Identificação: consiste em detectar e reconhecer a ocorrência de um incidente, por meio de alertas, notificações ou relatos. Por exemplo, um usuário pode perceber que seu computador está lento ou travando e reportar o problema à equipe de suporte, que pode verificar se há algum indício de infecção por vírus ou malware.
  • Análise: consiste em investigar e avaliar o incidente, determinando sua origem, seu impacto, sua gravidade e sua extensão. Por exemplo, a equipe de segurança pode analisar os logs do sistema e do antivírus para identificar como o vírus ou o malware entrou no computador, quais arquivos ou processos foram afetados, qual o nível de dano causado e se há outros computadores infectados na rede.
  • Contenção: consiste em isolar ou limitar o incidente, evitando que ele se propague ou cause mais danos. Por exemplo, a equipe de segurança pode desconectar o computador da rede, bloquear as portas ou os serviços que estão sendo usados pelo vírus ou pelo malware, desabilitar as contas ou as credenciais comprometidas ou aplicar regras no firewall para impedir a comunicação com endereços maliciosos.
  • Erradicação: consiste em eliminar ou neutralizar o incidente, removendo os elementos maliciosos ou restaurando os sistemas afetados. Por exemplo, a equipe de segurança pode usar uma ferramenta específica para remover o vírus ou o malware do computador, apagar os arquivos temporários ou corrompidos, atualizar os patches de segurança do sistema operacional e dos aplicativos ou reinstalar o sistema operacional e os aplicativos caso seja necessário.
  • Recuperação: consiste em restabelecer o funcionamento normal das operações afetadas pelo incidente, garantindo a continuidade dos serviços. Por exemplo, a equipe de segurança pode reconectar o computador à rede, reativar as contas ou as credenciais após a troca das senhas, verificar se há algum problema de desempenho ou de funcionalidade no sistema ou nos aplicativos ou restaurar os dados a partir do backup caso haja perda ou corrupção.
  • Lições aprendidas: consiste em registrar e analisar o incidente, identificando as causas raízes, as lições aprendidas e as recomendações para evitar sua reincidência. Por exemplo, a equipe de segurança pode elaborar um relatório sobre o incidente, descrevendo as informações relevantes sobre o que aconteceu, como foi tratado e quais foram os resultados obtidos, apontando as falhas ou as deficiências nos processos ou nas medidas de segurança que permitiram a ocorrência do incidente e sugerindo melhorias ou ações corretivas para prevenir incidentes semelhantes no futuro.

Para responder a incidentes de segurança da informação, é necessário estabelecer uma comunicação efetiva com os envolvidos no incidente, tais como:
  • Equipe de prevenção, tratamento e resposta a incidentes cibernéticos: grupo responsável por prestar serviços relacionados à segurança cibernética para o órgão ou a entidade da administração pública federal;
  • Equipe de coordenação setorial: equipe responsável por coordenar as atividades de segurança cibernética e centralizar as notificações de incidentes das demais equipes do setor regulado;
  • Equipes principais: equipes responsáveis por coordenar as atividades da Rede Federal de Gestão de Incidentes Cibernéticos;
  • Autoridade Nacional de Proteção de Dados - ANPD: órgão responsável por fiscalizar e aplicar sanções em caso de violação da Lei Geral de Proteção de Dados Pessoais - LGPD;
  • Centro Nacional de Segurança Cibernética - CTIR Gov: órgão responsável por prevenir, tratar e responder a
Top