Como Notificar

O que é um incidente:

De acordo com o Glossário de Segurança da Informação (PORTARIA Nº 93, DE 26 DE SETEMBRO DE 2019):

“INCIDENTE – evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;

INCIDENTE DE SEGURANÇA – qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;”.

Em geral, qualquer evento ou conjunto eventos de Segurança da Informação e Comunicação – SIC, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação da Política de Segurança da Informação e Comunicações – PSIC da UNIFAL-MG.

Exemplos de incidentes de segurança:

  • Uso de serviço ou recurso de rede para a disseminação de SPAM, Phishing, ameaças, fraudes, discurso de ódio e/ou discriminatório, calúnia e/ou difamação, exploração infantil (pedofilia), assédio sexual, apologia às drogas e/ou à violência, entre outros;
  • Distribuição de vírus ou programa que contenha qualquer tipo de código malicioso;
  • Engenharia social (utilização da boa fé, manipulação ou confiança) na intenção de obter informações pessoais e/ou sigilosas;
  • Ataques de varredura de IPs e/ou serviços ou escuta de tráfego de rede;
  • Exploração de vulnerabilidades de sistemas, acesso não autorizado, comprometimento de contas de usuários, entre outros;
  • Indisponibilidade de sistemas e/ou informações através de sabotagem, configuração incorreta ou ataque de negação de serviço (DoS, DDoS, etc);
  • Acesso, divulgação e/ou alteração de informação sem autorização;
  • Perda de dados;
  • Instalação e/ou disseminação de programa não autorizado  ou pirata;
  • Cópia ou distribuição não autorizada de material protegido por direitos autorais;
  • Sequestro de dados, desfiguração de sites, entre outros;
  • Desrespeito à política de segurança ou à política de uso aceitável de terceiros;

Quais os tipos de incidentes são tratados pela ETIR/UNIFAL-MG:

Todos os incidentes relacionados aos usuários e dispositivos que fazem uso da infraestrutura e dos serviços de Tecnologia da Informação e Comunicação – TIC da UNIFAL–MG.

Por que devo notificar um incidente:

A notificação de incidentes de segurança desempenha um importante papel na segurança da informação e comunicação na UNIFAL-MG e na segurança da Internet de modo geral. O conhecimento sobre como funciona um ataque ajuda na compreensão sobre as ameaças existentes, aumenta a capacidade de resposta, ajuda a melhorar os métodos de contingência e oferece dados para a melhoria da análise de riscos de SIC na UNIFAL-MG. A notificação de um incidente ajuda na geração de estatísticas e dados que, consequentemente, auxiliam na elaboração de orientações, adoção de boas práticas e campanhas de conscientização que contribuem para a melhoria na segurança de sistemas e na utilização segura, consciente e racional de recursos de rede, por parte do usuário.

Para quem devo notificar um incidente:

A notificação de incidentes pode ser feita através dos seguintes canais:

Quais informações devo incluir na notificação de um incidente:

  • Contato válido: e-mail, telefone ou outro meio de contato para que possamos contatar o remetente da notificação;
  • Descrição do evento: descrição detalhada do incidente;
  • Endereço IP de origem: endereço IP (IPv4 e/ou IPv6) do host que originou o incidente;
  • Endereço IP de destino: endereço IP (IPv4 e/ou IPv6) do host que sofreu o incidente;
  • Registro do tempo: informações acerca da data e hora da ocorrência do incidente, no formato GMT, com indicação explícita do fuso-horário (timezone);
  • Informações sobre serviços, protocolos e portas: protocolo (IP, TCP, UDP, etc), portas de origem e destino bem como os serviços (HTTP, SMTP, P2P, etc) envolvidos no incidente;
  • LOGs ou evidências: qualquer evidência que comprove a ocorrência do incidente;

Observação: é muito importante para a tomada de decisão, a verificação e a possível correção do problema que qualquer evidência que comprove a ocorrência do incidente seja mantida inalterada e guardada em segurança.

Quais medidas devem ser adotadas em caso de suspeita ou cometimento de crime:

Conforme estabelecido na Norma Complementar nº 08/IN01/DSIC/GSIPR:

“8.5 Durante o gerenciamento de incidentes de segurança em redes de computadores, havendo indícios de ilícitos criminais, as ETIR têm como dever, sem prejuízo do disposto no item 6 desta Norma Complementar e do item 10.6 da Norma Complementar nº 05/IN01/DSIC/GSIPR:

8.5.1 Acionar as autoridades policiais competentes para a adoção dos procedimentos legais julgados necessários;

8.5.2 Observar os procedimentos para preservação das evidências exigindo consulta às orientações sobre cadeia de custódia, conforme ato normativo específico a ser expedido;

8.5.3 Priorizar a continuidade dos serviços da ETIR e da missão institucional da organização, observando os procedimentos previstos no item 8.5.2.”.