quebra-cabeça ilustrando a ideia central do artigo de investigar as causas e condições dos incidentes

As Cinco Perguntas Fundamentais

Entendendo a ocorrência de incidentes de segurança da informação em empresas.

 

Carlos A. I. Bernardo

Resumo

Os incidentes de segurança da informação são eventos adversos que podem afetar seriamente uma empresa, trazendo prejuízos financeiros e consequências legais que, dependendo de sua extensão, podem até mesmo comprometer sua sobrevivência ou posição no mercado. O uso da tecnologia da informação, por conta de ameaças e vulnerabilidades em computadores, redes e sistemas, introduz o risco da ocorrência dos incidentes e a empresa deve estar preparada para tratá-los. A eficácia do tratamento e a melhoria contínua dos processos de gestão de incidentes dependem diretamente do conhecimento sobre a natureza dos incidentes, das causas e condições específicas que propiciaram sua ocorrência e do que precisa ser melhorado nos controles existentes na empresa. Para chegar a este conhecimento, há cinco perguntas fundamentais que devem ser respondidas durante o tratamento do incidente: O que aconteceu? Quando aconteceu? Como aconteceu? Por que aconteceu? Como evitar que se repita?

Introdução aos Incidentes de Segurança da Informação

O que é um incidente de segurança da informação

Um incidente de segurança é um evento confirmado em que a confidencialidade, a integridade ou a disponibilidade de um ativo da informação foram comprometidas.

Como um incidente de segurança da informação é detectado

A forma ideal de detectar um incidente de segurança da informação seria por meio da monitoração ativa dos eventos gerados por computadores, redes e sistemas. Porém, muitas vezes, eles são detectados por meio das reclamações ou denúncias dos usuários afetados.

O que é necessário para a monitoração

É necessário que computadores, redes e sistemas mantenham registros (logs e trilhas de auditoria) de quem os acessou e do que foi feito nestes acessos. Estes registros devem incluir também os erros e situações anormais detectadas durante a operação.

Qual o período de retenção dos registros

Do ponto de vista prático, seria importante ter pelo menos três meses de registros disponíveis para consulta rápida pela equipe de tratamento de incidentes. Do ponto de vista legal, considerando o Marco Civil da Internet, devem ser mantidos os registros de conexões internet por, pelo menos, um ano.

Como um incidente é investigado e tratado

Uma vez detectado o incidente, a equipe responsável pelo tratamento deve analisar as informações disponíveis nos registros e nos ativos afetados para entender a ocorrência e tomar as providências necessárias para a sua contenção (evitar que se propague ou que continue causando danos) e resolução (corrigir os problemas identificados e restabelecer a operação normal do ambiente).

Uma análise superficial de um incidente terá como consequência natural, além da possibilidade da tomada de decisões equivocadas, a quase certeza de sua repetição futura.

Preservação de Evidências (Perícia Digital)

No processo de análise e tratamento de um incidentes de segurança devem ser tomados todos os cuidados possíveis para a preservação de evidências que permitam reconstituir a sequência de eventos identificados e as medidas tomadas.

São evidências em incidentes de segurança da informação: registros (logs e trilhas de auditoria) das redes, computadores e sistemas afetados, arquivos acessados ou modificados durante o incidente, mídias e dispositivos envolvidos no incidente, registros de acessos físicos, filmagens de cameras de segurança interna, etc. 

Lembrando que as evidências são fundamentais para fins de comprovação em incidentes que possam ter desdobramentos legais.

O tempo de guarda das evidências depende da duração dos eventuais processos legais e a equipe de segurança da informação deve estar pronta para armazenar-las de forma prolongada e segura.

Pessoas, processos e tecnologia

Um incidente de segurança da informação raramente é consequência de causas isoladas. Normalmente, se entrelaçam ações – intencionais ou não – das pessoas envolvidas, falhas na execução de processos – e vulnerabilidades tecnológicas.

Por exemplo, mesmo um incidente que aparente ter causas puramente tecnológicas, como a pane de um equipamento, ao ser investigado com detalhes, pode se revelar uma decorrência da ausência de processos de manutenção ou da designação de uma pessoa como responsável por mantê-lo operacional.

Controles de segurança da informação

Os controles de segurança da informação são as medidas técnicas e administrativas tomadas para garantir o atendimento aos requisitos de segurança da informação da empresa.

Os controles são planejados e aplicados de acordo com a análise dos riscos de segurança da informação aos quais a confidencialidade, integridade e disponibilidade dos ativos da informação da empresa estão sujeitos.

Existem melhores práticas de mercado que ajudam na implementação desses controles. A norma técnica ABNT NBR ISO/IEC 27001:2022, por exemplo, apresenta um sistema de gestão de segurança da informação, que é composto por 93 controles divididos em controles organizacionais, de pessoais, tecnológicos e físicos.

Diversas organizações também publicam recomendações e frameworks de segurança da informação que ajudam na estruturação das ações que uma empresa precisa tomar para se proteger. Entre estes, podemos destacar o do NIST (Nationtal Institute of Standards and Technology), do CIS (Center for Internet Security) e o da CSA (Cloud Security Alliance).

Gestão de Incidentes de Segurança da Informação

O que é gestão de incidentes de segurança da informação

É o conjunto de atividades que permite à empresa se preparar para a eventualidade de um incidente de segurança da informação e tomar as ações adequadas de resposta quando ocorrerem.

Que tipo de atividades compõe a gestão de incidentes de segurança da informação

São atividades que representam processos contínuos de entendimento do contexto em que a tecnologia da informação é usada na empresa, quais os principais riscos que podem afetar este ambiente, seja por causas internas ou externas, de tomada de ações para tratar estes riscos, procurando evitar que se tornem incidentes, bem como a preparação das medidas apropriadas para serem tomadas em resposta aos incidentes que ocorrerem e sua ativação quando um incidente ocorrer.

O que é a resposta a um incidente de segurança da informação

E o tratamento propriamente dito do incidente, começa a partir do momento em que um incidente é detectado e vai até o momento em que o tratamento pode ser considerado finalizado por ter sido contido e resolvido.

Tipicamente, os responsáveis pelas ações de tratamento fazem uma análise preliminar rápida para confirmar se o evento é de fato um incidente, que tipo de incidentes representa e qual a sua gravidade, com base nessa primeira análise são determinadas as ações emergenciais para conter a propagação do incidente e reduzir seus danos imediatos, contido o incidente são aprofundadas as análises com a finalidade de determinar o que provocou o incidente, a extensão dos panos provocados e as medidas corretivas que permitirão restabelecer a operação normal da empresa. Restabelecida a operação normal é o momento de registrar as lições aprendidas, principalmente quais controles de segurança falharam ou quais estão ausentes.

O que é um grupo de reposta à incidentes

É a equipe previamente preparada para atuar quando um incidente for detectado. Dependendo do incidente podem ser necessários conhecimentos e habilidades diferentes, sendo indicado que a equipe seja multidisciplinar, abrangendo não só pessoas com domínio da tecnologia da informação, como também dos processos de negócios da empresa.

Devem também fazer parte da equipe pessoas que possam lidar com eventuais questões legais, de recursos humanos e de comunicação externa.

Esta equipe costuma ser designada pelo nome em inglês de CSIRT (Computer Security Incidente Response Team) ou CERT (Computer Emergency Response Team).

Fatores de sucesso na resposta aos incidentes de segurança da informação

Os principais fatores que contribuem para que a resposta a um incidente de segurança da informação seja bem-sucedida são a preparação prévia e o treinamento contínuo do grupo de resposta a incidentes.

Pessoas, procedimentos e ferramentas devem estar prontos para a atuação de forma rápida e coordenada.

Melhoria contínua da gestão de incidentes de segurança da informação

A melhoria contínua da gestão de incidentes de segurança é atingida pela utilização dos resultados da investigação dos incidentes ocorridos no aperfeiçoamento dos controles de segurança, das atividades de resposta a incidentes e no treinamento e conscientização do grupo de resposta a incidentes e dos demais colaboradores da empresa. 
 
O aprendizado em cada incidente propicia que pessoas, processos e ferramentas estejam cada vez mais preparados e a de gestão mais otimizada.

Melhores Práticas na Gestão de Incidentes

Da mesma forma que ocorre com a gestão de segurança da informação, há melhores práticas já estabelecidas no mercado que podem ser aplicadas pela empresa na gestão de incidentes de segurança da informação.

A principal norma técnica que trata de incidentes de segurança da informação é a ABNT NBR ISO/IEC 27035 e os frameworks anteriormente mencionados disponibilizam guias e orientações sobre como tratar incidentes de acordo com as estruturas que propõem.

As Cinco Perguntas Fundamentais

Tanto para o direcionamento de ações como para entender o que está acontecendo, há cinco perguntas que ajudam nas análises:

1 – O que aconteceu?

É a pergunta básica: qual evento, reclamação ou denúncia foi identificado como um incidente, incluindo as circunstâncias de identificação e quais foram os ativos afetados ou envolvidos.

É fundamental extrair dos registros monitorados os endereços IP de origem e destino dos pacotes, que tipo de pacotes de dados foram trocados, bem como os userids usados nas máquinas, redes e sistemas envolvidos.

Em caso de incidentes reportados por meio de denúncias e reclamações, deve-se sempre buscar complementá-las com informações extraídas dos registros dos sistemas, maquinas ou usuários mencionados no reporte.

Quando mais preciso o entendimento do que aconteceu, mais eficiente será a tomada de decisões e mais aprofundadas as análises no processo de resposta à incidentes.

2 – Quando aconteceu?

Para a investigação dos registros é fundamental que o período exato do evento seja determinado. Quando começou, quando seus efeitos adversos foram percebidos e, caso tenham cessado, quando cessaram. 

3 – Como aconteceu?

Pela análise dos registros e dos ativos afetados, deve se buscar a explicação de como o incidente de fato ocorreu, o que foi afetado, em que medida foi afetado, quais os impactos imediatos e possíveis riscos para o futuro.

A investigação deve abranger todos os elementos que sejam necessários para esclarecer os fatos. Diversos caminhos podem ser empregados, desde a análise dos logs de firewalls, dos sistemas de controle de acesso, de aplicações e perícia nos ativos afetados até entrevistas com os usuários ou outras pessoas envolvidas.

Quando o incidente envolve diversas máquinas, é essencial identificar por qual ponto ele se originou e como se deu sua propagação.

Para que a investigação seja bem sucedida, todas as hipóteses que forem levantadas devem ser analisadas e amparadas por registros e resultados de perícias.

Em nenhuma hipótese, o investigador deve ser contentar com respostas do tipo “pode ser”, “talvez”, “quem sabe” e “acho que”.

4 – Por que aconteceu?

Quais foram os controles de segurança que falharam ou foram insuficientes, quais situações geraram as oportunidades ou vulnerabilidades exploradas pelo incidente.

De fato, esta é a pergunta mais difícil e incômoda. O investigador, ao buscar as causas iniciais (vulnerabilidades), pode ser mal compreendido pelas equipes técnicas responsáveis pelos controles de segurança e das quais depende para a investigação.

Lembrando que o investigador de incidentes de segurança da informação não deve se enganar com a solução superficial de “achar culpados”; ele precisa ir mais fundo, nas causas sistêmicas ou estruturais que originaram a possibilidade de o incidente ocorrer.

As questões de responsabilização, sem dúvida, são pertinentes e devem ser endereçadas de forma apropriada, com a participação do RH, do Jurídico e da gestão da empresa, mas é a identificação das causas sistêmicas ou estruturais que permitirá melhorias na segurança da informação e que reduzirá os riscos da repetição do incidente.

5 – Como evitar que se repita?

A partir das causas identificadas, devem ser melhorados os controles de segurança existentes.

Por meio das dificuldades encontradas na investigação, devem ser aperfeiçoados os registros nos computadores, redes e sistemas. Políticas e procedimentos, inclusive os de resposta a incidentes, devem ser aperfeiçoados.

Finalmente, os treinamentos e ações de conscientização devem ser revistos para cobrir as eventuais deficiências identificadas nas ações das pessoas e usuários envolvidos no incidente.

Conclusão

É consenso entre os especialistas em segurança da informação que não é possível garantir 100% de segurança por 100% do tempo, sendo assim provável que incidentes de segurança venham a ocorrer esporadicamente. A empresa precisa estar preparada para tratar os que vierem a ocorrer, e isto pode fazer a diferença entre a empresa passar por um transtorno ou por uma catástrofe.

Deste ponto de vista, conduzir uma investigação adequada que permita responder às cinco perguntas apresentadas é crucial para a melhoria contínua da resposta a incidentes e da efetiva gestão dos riscos


Imagem de capa: banco de imagens pixabay.com