--- id: incident-management title: Cap. 11 - Gestão de Incidentes sidebar_label: 11. Gestão de Incidentes sidebar_position: 11 --- # Gestão de Incidentes ## 11.1 Introdução à Gestão de Incidentes A gestão de incidentes de segurança da informação é um componente crítico do sistema de gestão de segurança da informação (SGSI) da Pragmatismo. Este processo estruturado permite identificar, reportar, avaliar e responder efetivamente a incidentes de segurança, minimizando danos potenciais e prevenindo recorrências futuras. Este capítulo estabelece as diretrizes e procedimentos para a gestão de incidentes na Pragmatismo, alinhados com os requisitos das normas ISO 27001, HIPAA e LGPD, garantindo a proteção adequada das informações e a continuidade dos negócios. ### 11.1.1 Definição de Incidente de Segurança da Informação Um incidente de segurança da informação é definido como um evento único ou uma série de eventos indesejados ou inesperados de segurança da informação que têm uma probabilidade significativa de comprometer as operações de negócio e ameaçar a segurança da informação. Exemplos incluem: - Violações de dados - Acesso não autorizado a sistemas ou informações - Interrupção de serviços digitais - Comprometimento de credenciais - Ataques de malware, ransomware ou phishing - Modificação não autorizada de dados - Perda ou roubo de equipamentos contendo informações sensíveis - Falhas em sistemas críticos com impacto na confidencialidade, integridade ou disponibilidade da informação ## 11.2 Integração com o Ciclo de Vida de Desenvolvimento de Software (ALM) A gestão de incidentes na Pragmatismo está intrinsecamente conectada ao nosso ciclo de vida de desenvolvimento de software (Application Lifecycle Management - ALM). Esta integração é fundamental para uma empresa que desenvolve soluções como o General Bots. ### 11.2.1 Pontos de Intersecção entre Gestão de Incidentes e ALM 1. **Detecção Precoce**: As atividades de monitoramento contínuo do ALM ajudam na detecção precoce de vulnerabilidades que poderiam levar a incidentes. 2. **Análise de Causa Raiz**: Os incidentes relacionados ao software são analisados dentro do contexto do ALM para identificar falhas no processo de desenvolvimento. 3. **Resolução Integrada**: Correções para incidentes de segurança em software são incorporadas diretamente no pipeline de desenvolvimento. 4. **Feedback para Melhoria Contínua**: Os dados de incidentes alimentam o processo de melhoria do ALM, refinando práticas de desenvolvimento seguro. 5. **Rastreabilidade**: A integração permite rastrear como e quando as vulnerabilidades foram introduzidas e corrigidas no código. ### 11.2.2 DevSecOps na Gestão de Incidentes A Pragmatismo adota uma abordagem DevSecOps, incorporando segurança em todo o ciclo de desenvolvimento: - **Segurança como Código**: Controles de segurança automatizados são integrados aos pipelines de CI/CD - **Testes de Segurança Automatizados**: Realizados regularmente para identificar vulnerabilidades antes que se tornem incidentes - **Monitoramento em Tempo Real**: Detecção proativa de comportamentos anômalos em aplicações em produção - **Resposta Rápida**: Capacidade de corrigir vulnerabilidades rapidamente com processos ágeis de desenvolvimento ## 11.3 Estrutura da Equipe de Resposta a Incidentes (CSIRT) ### 11.3.1 Composição da Equipe A Pragmatismo estabeleceu uma Equipe de Resposta a Incidentes de Segurança Computacional (CSIRT) multidisciplinar, composta por: | Papel | Responsabilidades | |-------|------------------| | Gerente de Incidentes | Coordenação geral da resposta a incidentes, tomada de decisões críticas, comunicação com a alta direção | | Especialistas em Segurança | Análise técnica de incidentes, identificação de vulnerabilidades, implementação de correções técnicas | | Analistas de Desenvolvimento | Identificação e correção de problemas de segurança no código e na arquitetura do software | | Representante de TI | Suporte na infraestrutura técnica, restauração de sistemas e backups | | Representante Jurídico | Avaliação de implicações legais e conformidade com LGPD, HIPAA e outras regulamentações | | Especialista em Comunicação | Gestão de comunicações internas e externas durante incidentes significativos | | Representante de RH | Tratamento de incidentes relacionados a funcionários, treinamentos e conscientização | ### 11.3.2 Modelos de Atuação A CSIRT da Pragmatismo opera em diferentes modelos dependendo da severidade do incidente: - **Modelo Distribuído**: Para incidentes de baixa severidade, especialistas trabalham remotamente - **Modelo Centralizado**: Para incidentes críticos, a equipe se reúne em sala de crise dedicada - **Modelo Híbrido**: Combinação de recursos locais e remotos para otimizar a resposta ## 11.4 Processo de Gestão de Incidentes O processo de gestão de incidentes da Pragmatismo segue as melhores práticas da ISO 27001 e está alinhado com os requisitos de HIPAA e LGPD: ### 11.4.1 Preparação e Planejamento - **Documentação de Procedimentos**: Procedimentos detalhados para diferentes tipos de incidentes - **Recursos Necessários**: Ferramentas, sistemas e recursos humanos para resposta eficaz - **Treinamento e Conscientização**: Programa contínuo de capacitação da equipe CSIRT e de todos os colaboradores - **Simulações Periódicas**: Exercícios práticos para testar a eficácia dos procedimentos - **Catalogação de Ativos**: Inventário atualizado de ativos de informação críticos ### 11.4.2 Identificação e Notificação A Pragmatismo implementou múltiplos canais para identificação e notificação de incidentes: - **Monitoramento Automatizado**: Sistemas SIEM, IDS/IPS, análise de logs - **Notificação por Colaboradores**: Portal de segurança para reporte de incidentes - **Alertas de Parceiros e Clientes**: Canal dedicado para comunicação externa - **Varreduras de Vulnerabilidades**: Identificação proativa de falhas de segurança - **Linha Direta de Segurança**: Número de telefone dedicado para relato de incidentes urgentes #### Fluxo de Notificação 1. Identificação de evento suspeito 2. Registro inicial no sistema de tickets 3. Avaliação preliminar pela equipe de primeira resposta 4. Classificação e priorização 5. Escalonamento conforme necessário ### 11.4.3 Classificação e Priorização Os incidentes são classificados de acordo com: #### Categorias de Incidentes | Categoria | Descrição | Exemplos | |-----------|-----------|----------| | Tentativa de Acesso | Tentativas de comprometer sistema ou informação | Ataques de força bruta, exploração de vulnerabilidades | | Uso Indevido | Uso não autorizado de sistemas ou dados | Uso de credenciais roubadas, elevação de privilégios | | Vazamento de Dados | Exposição não autorizada de informações | Envio acidental de dados sensíveis, exfiltração de dados | | Malware | Software malicioso que afeta sistemas | Vírus, ransomware, backdoors | | Indisponibilidade | Interrupção de serviços ou sistemas | Ataques DDoS, falhas em aplicações | | Violação de Política | Descumprimento de políticas internas | Compartilhamento indevido de senhas, bypass de controles | #### Níveis de Severidade | Nível | Descrição | Impacto | Tempo de Resposta | |-------|-----------|---------|-------------------| | Crítico | Impacto severo no negócio, risco significativo | Afeta dados sensíveis de clientes, interrupção total de serviços críticos | Imediato (até 30 minutos) | | Alto | Impacto substancial em departamentos ou serviços importantes | Comprometimento parcial de dados, interrupção de serviços importantes | 2 horas | | Médio | Impacto moderado, afeta processos específicos | Acesso não autorizado a dados não críticos, degradação de desempenho | 8 horas | | Baixo | Impacto limitado, facilmente contornável | Pequenas violações de política, incidentes isolados | 24 horas | ### 11.4.4 Contenção, Erradicação e Recuperação #### Estratégias de Contenção A contenção visa limitar os danos de um incidente em andamento: - **Contenção Imediata**: Ações rápidas para isolar sistemas comprometidos - Desconexão de rede - Bloqueio de contas comprometidas - Desativação de serviços afetados - **Contenção a Curto Prazo**: Medidas para estabilizar o ambiente - Implementação de filtros adicionais - Instalação de patches de emergência - Redirecionamento de tráfego - **Contenção a Longo Prazo**: Medidas permanentes - Redesenho de arquitetura - Implementação de novos controles de segurança #### Erradicação Após a contenção, o processo de eliminação das causas do incidente: 1. Identificação do vetor de ataque e vulnerabilidades exploradas 2. Remoção de malware ou código malicioso 3. Correção de vulnerabilidades em aplicações (especialmente relevante para o General Bots) 4. Hardening de sistemas afetados 5. Revisão e reforço de controles de segurança #### Recuperação Restauração segura dos sistemas e serviços afetados: 1. Restauração de dados a partir de backups verificados 2. Ativação gradual de sistemas com monitoramento intensivo 3. Validação da segurança antes do retorno à produção 4. Monitoramento estendido para detecção de atividades suspeitas persistentes #### Considerações Específicas para Aplicações de Software Para incidentes que afetam o General Bots ou outras aplicações da Pragmatismo: - Roll-back para versões estáveis anteriores quando necessário - Deploy emergencial de patches de segurança - Sandbox para teste acelerado de correções - Integração com sistema de CI/CD para implementação rápida de correções ### 11.4.5 Análise Pós-Incidente Após a resolução do incidente, a Pragmatismo realiza uma análise detalhada: #### Análise de Causa Raiz Metodologia estruturada para identificar: - Causa técnica direta do incidente - Falhas em processos ou controles - Fatores humanos e organizacionais #### Documentação e Lições Aprendidas Cada incidente é documentado em relatório contendo: - Timeline detalhada do incidente - Ações tomadas e sua eficácia - Impacto técnico e de negócio - Recomendações para evitar recorrência #### Atualização de Processos e Controles Com base nas lições aprendidas: - Revisão e atualização de políticas de segurança - Melhoria em procedimentos de resposta - Implementação de novos controles técnicos - Ajustes no programa de conscientização em segurança ## 11.5 Conformidade Regulatória na Gestão de Incidentes ### 11.5.1 Conformidade com ISO 27001 A gestão de incidentes da Pragmatismo atende aos requisitos do controle A.16 da ISO 27001: | Controle ISO 27001 | Implementação na Pragmatismo | |--------------------|------------------------------| | A.16.1.1 Responsabilidades e procedimentos | Definição clara de papéis e responsabilidades da CSIRT | | A.16.1.2 Notificação de eventos de segurança | Múltiplos canais de notificação e sistema centralizado de registro | | A.16.1.3 Notificação de fragilidades de segurança | Processo para relato de vulnerabilidades por colaboradores e terceiros | | A.16.1.4 Avaliação e decisão sobre eventos | Sistema de classificação e priorização de incidentes | | A.16.1.5 Resposta a incidentes | Procedimentos detalhados para diferentes tipos de incidentes | | A.16.1.6 Aprendizagem com incidentes | Análise pós-incidente e implementação de melhorias | | A.16.1.7 Coleta de evidências | Procedimentos forenses e de preservação de evidências | ### 11.5.2 Conformidade com LGPD Para incidentes envolvendo dados pessoais, procedimentos específicos em conformidade com a LGPD: - **Notificação à ANPD**: Para incidentes que possam acarretar risco ou dano relevante aos titulares - Prazo: Em tempo hábil, conforme determinação da ANPD - Conteúdo: Descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, medidas de segurança utilizadas, riscos relacionados ao incidente, medidas adotadas para reverter ou mitigar os efeitos do incidente - **Comunicação aos Titulares**: Quando o incidente puder acarretar risco ou dano relevante - Linguagem clara e acessível - Informações sobre as medidas de proteção tomadas - **Documentação**: Registro detalhado para demonstração de compliance - Evidências das medidas implementadas - Cronologia das ações tomadas - Fundamentação para decisões sobre notificação ### 11.5.3 Conformidade com HIPAA Para incidentes envolvendo informações de saúde protegidas (PHI): - **Determinação de Violação**: Processo de avaliação para determinar se um incidente constitui uma violação reportável - Análise de probabilidade de comprometimento de PHI - Documentação da análise e conclusão - **Notificação**: Em caso de violação confirmada - Para indivíduos afetados: Sem atraso indevido, máximo de 60 dias após a descoberta - Para HHS (equivalente nos EUA): Para violações afetando mais de 500 indivíduos, notificação simultânea - Para mídia: Quando violação afeta mais de 500 residentes de um estado ou jurisdição - **Conteúdo da Notificação**: Informações requeridas pela HIPAA - Descrição do incidente - Tipos de PHI envolvidos - Passos que os indivíduos podem tomar para se proteger - Medidas tomadas para mitigar danos e evitar recorrências - Procedimentos para obter informações adicionais ## 11.6 Ferramentas e Tecnologias de Suporte A Pragmatismo implementou um conjunto integrado de ferramentas para suportar a gestão eficiente de incidentes: ### 11.6.1 Detecção e Monitoramento - **Sistema SIEM (Security Information and Event Management)**: Correlação de eventos de segurança em tempo real - **EDR (Endpoint Detection and Response)**: Monitoramento avançado de endpoints - **IDS/IPS (Intrusion Detection/Prevention System)**: Detecção e bloqueio de atividades maliciosas na rede - **Análise de Comportamento de Usuários (UEBA)**: Identificação de comportamentos anômalos - **Monitoramento Contínuo de Vulnerabilidades**: Scans regulares de infraestrutura e aplicações ### 11.6.2 Gestão e Documentação - **Sistema de Tickets de Incidentes**: Rastreamento do ciclo de vida completo dos incidentes - **Base de Conhecimento**: Registro de incidentes passados e resoluções - **Dashboard de Status de Incidentes**: Visibilidade em tempo real - **Ferramenta de Análise de Causa Raiz**: Suporte estruturado para investigações - **Sistema de Comunicação Segura**: Para coordenação da equipe durante incidentes ### 11.6.3 Integração com DevSecOps - **Ferramentas de SAST/DAST**: Análise estática e dinâmica de segurança no código - **Gerenciamento de Vulnerabilidades**: Integração com ciclo de desenvolvimento - **Análise de Composição de Software (SCA)**: Detecção de vulnerabilidades em componentes de terceiros - **Monitoramento de Segurança em CI/CD**: Verificações automatizadas no pipeline - **Feedback de Segurança em PRs**: Análise automatizada em pull requests ## 11.7 Procedimentos Específicos por Tipo de Incidente A Pragmatismo desenvolveu procedimentos detalhados para tipos comuns de incidentes: ### 11.7.1 Resposta a Malware 1. **Isolamento**: Desconexão imediata do sistema infectado da rede 2. **Identificação**: Análise do tipo e comportamento do malware 3. **Contenção**: Verificação de propagação para outros sistemas 4. **Erradicação**: Remoção do malware usando ferramentas especializadas 5. **Recuperação**: Restauração do sistema a partir de backup limpo 6. **Lições Aprendidas**: Identificação do vetor de infecção e implementação de proteções adicionais ### 11.7.2 Resposta a Vazamento de Dados 1. **Confirmação e Escopo**: Verificação de quais dados foram expostos e afetados 2. **Contenção**: Bloqueio do acesso não autorizado à fonte de dados 3. **Avaliação Legal**: Determinação de obrigações de notificação (LGPD/HIPAA) 4. **Notificação**: Comunicação aos titulares dos dados e autoridades, conforme necessário 5. **Mitigação**: Ações para minimizar danos aos afetados 6. **Revisão de Controles**: Fortalecimento das medidas de proteção de dados ### 11.7.3 Resposta a Vulnerabilidades em Aplicações Especialmente relevante para o produto General Bots: 1. **Avaliação de Impacto**: Determinação da exploitabilidade e potencial dano 2. **Priorização**: Classificação com base em criticidade e impacto no negócio 3. **Desenvolvimento de Patch**: Criação e teste da correção em ambiente seguro 4. **Implementação**: Deployment do patch seguindo procedimentos de mudança 5. **Verificação**: Confirmação da efetividade da correção 6. **Divulgação Responsável**: Comunicação aos clientes afetados ### 11.7.4 Resposta a Incidentes de Acesso Não Autorizado 1. **Detecção**: Identificação da violação através de alertas ou anomalias 2. **Contenção**: Bloqueio imediato das contas comprometidas 3. **Investigação**: Análise da extensão do acesso e atividades realizadas 4. **Remediação**: Reforço das defesas e controles de acesso 5. **Recuperação**: Restauração da segurança e integridade dos sistemas 6. **Análise Forense**: Determinação do método de comprometimento ## 11.8 Métricas e Melhoria Contínua ### 11.8.1 Indicadores-chave de Desempenho (KPIs) A Pragmatismo monitora os seguintes KPIs para avaliar a eficácia da gestão de incidentes: | KPI | Descrição | Meta | |-----|-----------|------| | Tempo Médio para Detecção (MTTD) | Tempo entre o início do incidente e sua identificação | < 2 horas | | Tempo Médio para Resposta (MTTR) | Tempo entre a detecção e o início da resposta | < 30 minutos | | Tempo Médio para Resolução (MTTS) | Tempo total até a resolução completa | Depende da severidade | | Taxa de Resolução na Primeira Intervenção | Incidentes resolvidos sem escalonamento | > 75% | | Taxa de Recorrência | Incidentes similares que ocorrem novamente após resolução | < 5% | | Cobertura de Análise Pós-Incidente | Percentual de incidentes que passam por análise completa | 100% para médio/alto/crítico | ### 11.8.2 Processo de Melhoria Contínua A gestão de incidentes da Pragmatismo segue o ciclo PDCA (Plan-Do-Check-Act): 1. **Plan (Planejar)**: - Definição de políticas e procedimentos - Estabelecimento de métricas e metas - Planejamento de recursos e treinamentos 2. **Do (Fazer)**: - Implementação dos processos definidos - Execução das atividades de resposta - Coleta de dados e métricas 3. **Check (Verificar)**: - Análise de métricas e tendências - Avaliação da eficácia dos processos - Identificação de áreas para melhoria 4. **Act (Agir)**: - Implementação de melhorias identificadas - Ajuste de processos e controles - Atualização de documentação ### 11.8.3 Revisões Periódicas - **Revisões Trimestrais**: Análise de tendências e eficácia operacional - **Revisões Anuais**: Avaliação estratégica e alinhamento com objetivos de negócio - **Auditorias**: Verificação independente de conformidade com normas e regulamentos ## 11.9 Treinamento e Conscientização ### 11.9.1 Programa de Treinamento da CSIRT A Pragmatismo mantém um robusto programa de capacitação para todos os membros da equipe de resposta a incidentes: - **Treinamento Básico**: Obrigatório para todos os membros - Fundamentos de gestão de incidentes - Procedimentos internos e ferramentas - Técnicas de investigação inicial - **Treinamento Avançado**: Para especialistas técnicos - Análise forense digital - Técnicas avançadas de detecção de intrusão - Resposta a ameaças persistentes avançadas (APTs) - **Treinamento Específico por Função**: Baseado em responsabilidades - Legal: Requisitos regulatórios e notificações - Comunicação: Gestão de crise e comunicação - Técnico: Análise de malware, resposta a ransomware ### 11.9.2 Conscientização Organizacional Programa abrangente para todos os colaboradores: - **Treinamento de Indução**: Para novos colaboradores - **Refreshers Anuais**: Atualizações de procedimentos e ameaças emergentes - **Simulações de Phishing**: Testes práticos regulares - **Boletins de Segurança**: Comunicações sobre ameaças atuais - **Portal de Segurança**: Recursos e guias acessíveis ## 11.10 Documentação e Registros ### 11.10.1 Documentação Requerida A Pragmatismo mantém a seguinte documentação: - **Política de Gestão de Incidentes**: Documento principal definindo diretrizes gerais - **Procedimentos Operacionais Padrão (POPs)**: Instruções detalhadas para diferentes tipos de incidentes - **Matriz de Escalonamento**: Definição clara de quem contatar em cada situação - **Formulários e Templates**: Para documentação consistente de incidentes - **Registros de Incidentes**: Histórico completo de todos os incidentes e respostas ### 11.10.2 Retenção de Registros Em conformidade com requisitos legais e regulatórios: | Tipo de Registro | Período de Retenção | Método de Armazenamento | |------------------|---------------------|-------------------------| | Incidentes de Baixa Severidade | 1 ano | Sistema de tickets | | Incidentes de Média Severidade | 3 anos | Sistema de tickets e arquivo seguro | | Incidentes de Alta/Crítica Severidade | 5 anos | Sistema de tickets e arquivo seguro com criptografia | | Incidentes envolvendo dados pessoais (LGPD) | 6 anos | Arquivo seguro com criptografia e controle de acesso | | Incidentes envolvendo PHI (HIPAA) | 6 anos | Arquivo seguro com criptografia e controle de acesso | ## 11.11 Referências e Recursos Adicionais ### 11.11.1 Normas e Frameworks - ISO/IEC 27001:2013 - Seção A.16: Gestão de incidentes de segurança da informação - ISO/IEC 27035: Gestão de incidentes de segurança da informação - NIST SP 800-61: Guia de tratamento de incidentes de segurança da informação - SANS Incident Handler's Handbook - COBIT 5 for Information Security ### 11.11.2 Legislação Aplicável - Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - Health Insurance Portability and Accountability Act (HIPAA) - Marco Civil da Internet - Lei nº 12.965/2014 ### 11.11.3 Recursos Internos - Wiki de Segurança da Pragmatismo - Biblioteca de Playbooks de Resposta a Incidentes - Base de Conhecimento de Incidentes Resolvidos ## 11.12 Apêndices ### Apêndice A: Fluxograma de Resposta a Incidentes ```mermaid graph TD A[Detecção do Incidente] --> B{Avaliação Inicial} B -->|Não confirmado| C[Falso Positivo - Documentar] B -->|Confirmado| D[Classificação e Priorização] D --> E{Severidade?} E -->|Baixa| F[Resposta Padrão] E -->|Média| G[Resposta Elevada] E -->|Alta/Crítica| H[Resposta de Emergência] F --> I[Contenção e Erradicação] G --> I H --> I I --> J[Recuperação] J --> K[Análise Pós-Incidente] K --> L[Implementação de Melhorias] L --> M[Fechamento do Incidente] ``` ### Apêndice B: Modelo de Relatório de Incidente ``` # RELATÓRIO DE INCIDENTE DE SEGURANÇA ## 1. INFORMAÇÕES GERAIS - ID do Incidente: [ID único] - Data/Hora de Detecção: [DD/MM/AAAA HH:MM] - Data/Hora de Resolução: [DD/MM/AAAA HH:MM] - Severidade: [Baixa/Média/Alta/Crítica] - Categoria: [Tipo de incidente] - Sistemas Afetados: [Lista de sistemas] ## 2. DESCRIÇÃO DO INCIDENTE [Descrição detalhada do que ocorreu] ## 3. CRONOLOGIA DE EVENTOS [Timeline detalhada] ## 4. AÇÕES TOMADAS [Detalhamento das ações de resposta] ## 5. IMPACTO - Impacto Técnico: [Descrição] - Impacto no Negócio: [Descrição] - Dados Afetados: [Tipos e quantidades] ## 6. ANÁLISE DE CAUSA RAIZ [Detalhamento das causas identificadas] ## 7. LIÇÕES APRENDIDAS [Principais aprendizados] ## 8. RECOMENDAÇÕES [Ações recomendadas para prevenir recorrência] ## 9. ANEXOS [Lista de evidências e documentação relacionada] ``` ### Apêndice C: Lista de Verificação para Classificação de Severidade Fatores a considerar ao classificar a severidade de um incidente: 1. **Impacto nos Dados** - Quantidade de dados afetados - Sensibilidade dos dados (PHI, dados pessoais, informações financeiras) - Potencial para uso malicioso dos dados expostos 2. **Impacto Operacional** - Número de sistemas afetados - Criticidade dos sistemas para operações - Duração estimada da interrupção - Existência de workarounds 3. **Impacto Regulatório** - Obrigações de notificação - Potenciais penalidades - Prazos regulatórios 4. **Impacto na Reputação** - Visibilidade externa do incidente - Percepção dos clientes e parceiros - Potencial cobertura da mídia 5. **Impacto Financeiro** - Custos diretos de remediação - Potenciais perdas de receita - Responsabilidades legais