
O que podemos falar a respeito de um incidente de segurança da informação? Bem, ele pode ou não envolver Tecnologia da Informação e Comunicação (TIC). Um exemplo pode ser os incidentes que ocorrem a partir de documentos em meios físicos.
Publicada aqui no Brasil, em 15 jul. 2021, a norma ABNT NBR ISO/IEC 27035-3:2021 – Gestão de incidentes de segurança da informação. Parte 3: Diretrizes para operações de resposta a incidentes de TIC considera apenas operações de resposta a incidentes relacionados à TIC. É importante ressaltar que estar norma suporta os controles da NBR 27001, Anexo A, relacionados à gestão de incidentes. E, uma PME pode não usar todas as orientações encontradas nesta norma. Além disso, o seu conteúdo pode auxiliar essas PMEs na terceirização de suas atividades de TI.
Não é novidade que a quantidade de incidentes de segurança está aumentando a cada dia que passa, e podemos incluir os incidentes nas redes corporativas, incluindo intrusões, violações de dados e hackers. Sendo assim, convém que as organizações tenham um ambiente seguro de TIC, que suporte ataques (DoS, worms e vírus) e, além disso ter equipamentos de segurança de rede, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS).
O que diz o escopo da NBR 27035-3?
Esta norma fornece diretrizes para resposta a incidentes de segurança da informação em operações de TIC. E, abrange aspectos operacionais de segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Além disso, ela aprofunda-se na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção erradicação, recuperação e conclusão.
Esta norma é baseada no modelo de Fases de gestão de incidentes de segurança da informação, apresentado na ISO/IEC 27035-1:2016:
• Detecção e geração de relatórios;
• Avaliação e decisão; e
• Respostas.
Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. Cabe aqui, a cada organização ajustar as disposições fornecidas nesta norma, de acordo com o seu tipo, porte e natureza dos seus negócios, em relação à situação de risco à segurança da informação.