A Segurança da Informação de uma organização está sujeita a incidentes, como todas as outras áreas. Os fatores de motivação dos incidentes são vários, desde ameaças humanas não intencionais até ameaças técnicas e organizacionais. Mas uma vez que já existe o incidente, é de suma importância seu correto tratamento e, para realizar as medidas certas, é preciso entender como funciona o ciclo de vida de um incidente.

O ciclo de vida de um incidente é composto de quatro etapas bem distintas:

  • Ameaças: assim como a existência das vulnerabilidades é um fator intrínseco dos ativos de segurança da informação, as ameaças também são. Por este motivo que o gerenciamento de riscos é muito importante e deve ser um processo contínuo dentro da organização. Através do gerenciamento de riscos é possível desenvolver medidas de segurança para cada etapa do ciclo do incidente. Nesta etapa (ameaças) podemos aplicar medidas de redução e de prevenção das ameaças.

 

  • Incidente: esta etapa tem como premissa que, apesar das medidas de redução e prevenção das ameaças, ocorreu um incidente. A principal medida de segurança a ser aplicada aqui é a detectiva. Quanto antes detectar um incidente, menos dano será causado e mais rápido pode ser o retorno a operação normal. Além disso, uma outra medida de segurança também pode ser aplicada, as medidas repressivas. Estas medidas tem como objetivo reprimir o dano a menor intensidade possível.

 

  • Dano: nesta etapa a organização já ativou todas as medidas possíveis, mas é importante avaliar com critério os danos causados pelo incidente. Esta avaliação deve ser confrontada com a análise de impacto realizada no gerenciamento de risco, para refinar as métricas de avaliação e aumentar a precisão das estimativas. Esta precisão está relacionada a análise custo-benefício de uma medida (controle) de segurança.

 

  • Recuperação: nesta etapa acontece a recuperação do incidente e o retorno a operação normal. As medidas de segurança adotadas aqui são corretivas e avaliativas. É importante possuir um plano de retorno para os ativos de segurança, de forma que as atividades de retorno não se tornem ameaças reais a continuidade da operação.

 

Tendo em mente estas quatro etapas, um analista de segurança pode, com muito mais eficiência, definir os diversos tipos de controles que sua organização necessita. Além disso, ressalta-se a importância do processo de gerência de riscos. A relação custo-benefício dos controles de segurança a serem aplicados é um produto desta análise e apoio firmemente a tomada de decisão estratégica no que diz respeito a Segurança da Informação.

Outro ponto importante do ciclo de vida de um incidente, é a clara definição de papéis e os respectivos procedimentos operacionais. O que fazer, quando fazer, como fazer são ações de planejamento que devem ser realizadas para os ativos de segurança e seus controles.