Wolfgang Mahr Normas de Sistema de gestão, especialmente aquelas que lidam com segurança e interrupções de processos de negócio, usam o termo “gestão de incidente”. Como estas normas de sistemas de gestão lidam com diferentes aspectos da gestão de processos de negócio (Gestão de Serviços de TI, Segurança da Informação, Continuidade de Negócio, Segurança da Cadeia de Suprimento, e possivelmente outras), o termo é largamente usado mas possui um diferente significado dependendo do contexto. Sobre isso, muitas das normas também usam o termo “evento”.
De Eventos para Incidentes
De forma a simplificar as coisas, vamos tentar explicar a relação entre “evento” e “incidente”. O ISO/IEC Guide 73 (um vocabulário de gestão de riscos da ISO) define um evento como uma “ocorrência que mudaria um conjunto particular de circunstâncias”. Como isto não é claro, a ISO 22301:2012 usa ao menos quarto notas de forma a melhor explicar a definição de um evento. Os autores desta definição provavelmente pensaram em eventos como sendo um tipo de mudança (súbita) sem um resultado negativo. Por exemplo, um evento pode não ter nenhuma implicação negativa – algo apenas mudou (ex.: um de três conjuntos de ar condicionado é desligado para manutenção).
Como tal, o termo “evento” pode ser usado como uma expressão neutra. “Incidentes”, ao contrário, pode possuir um significado negativo, de acordo com a definição deles em diferentes normas ISO. Por exemplo, se o desligamento do terceiro conjunto de ar condicionado imediatamente sobrecarrega e desliga os dois conjuntos restantes, o evento evoluiu para um incidente.
Encontre mais explicações de terminologias das normas no artigo Explanação da terminologia básica das normas ISO.
Incidentes na Gestão de Serviços de TI
A Norma ISO/IEC em Gestão de Serviços de TI (ISO/IEC 20000-1:2011), em sua definição 3.10, sublinha as duas faces dos incidentes. Enquanto existem certos incidentes que são conectados a uma interrupção não planejada de um serviço (impacto negative para um ou mais usuários), uma indicação que um dos discos rígidos de um conjunto de discos espelhados desenvolveu uma falha pode ser um tipo de incidente sem um impacto negativo imediato, de acordo com a definição acima: “… uma redução na qualidade do serviço … que ainda não impactou o serviço para o cliente”. Contudo, na gestão de serviços de TI, incidentes estão sendo conectados a interrupções ou uma redução na qualidade dos serviços aos usuários. Estes incidentes precisam ser cuidados por uma estrutura de gestão de incidentes apropriada.
Da mesma forma, a ISO 20000 considera, em adição aos incidentes “normais”, os chamados incidentes de segurança da informação. Como mencionado na definição 3.12: “… eventos de segurança não esperados … probabilidade significativa … ameaçando a segurança da informação”. Estes são incidentes que são diretamente relacionados a assuntos de segurança, em contraste a incidentes que, por exemplo, estão relacionados a interrupções de sistema.
Precisamos lembrar que nem todos os incidentes em gestão de serviços de estão relacionados à segurança. Por exemplo, a perda de capacidade de impressão é um incidente, mas pode não estar relacionado a assuntos de segurança.
Incidentes em Segurança da Informação
A ISO/IEC 27000:2016, em sua definição 2.36 (incidente de segurança da informação), sublinha o impacto nas operações do negócio com respeito à segurança da informação. Como tal, todas as três dimensões da segurança da informação: confidencialidade, integridade, e disponibilidade – podem ser afetadas. Por exemplo, documentação confidencial pode ter sido exposta, malware pode ter corrompido dados, ou sistemas podem ter sido colocados fora de operação devido a um ciber-ataque.
De forma a lidar com estes tipos de incidentes, uma estrutura de gestão de incidentes de segurança da informação precisar estar implementada. O Anexo A da ISO/IEC 27001:2013 chama por tal estrutura na seção A.16. Ela também lista um número de controles que precisam estar implementados.
Veja também o artigo How to handle incidents according to ISO 27001 A.16 para aprender mais sobre incidentes de segurança.
Incidentes na Gestão de Segurança da Cadeia de Suprimento
Na família de normas para gestão da segurança na cadeia de suprimento, a gestão de incidentes também é de importância. Por exempla, a ISO 28003:2007 (governando a certificação de sistemas de gestão da segurança da cadeia de suprimento) até mesmo pede aos auditores para saber como responder a incidentes de segurança.
Incidentes em Continuidade de Negócio e Resiliência
A ISO 22301:2012, em sua definição 3.19, que é baseada na ISO 22300:2012, claramente coloca uma interpretação negativa na definição de um incidente. Os autores usam a expressão “incidente disruptivo” em muitas partes da norma. Isto é para sublinhar que em continuidade de negócio, consequência sérias podem resultar de interrupções de negócios. As consequências podem ser muito mais graves quando comparadas a incidentes tipicamente menores na gestão de serviços de TI.
Consequências típicas destes tipos de incidentes – de acordo com esta definição – são interrupções de processo, perdas de vidas humanas e de ativos, emergências ou crises. Interrupções podem ter uma grande variedade de causas e podem impactar não apenas ativos de tecnologia da informação, mas quaisquer ativos da organização. Essencialmente, a continuidade de negócio prepara para tais incidentes (que podem evoluir para emergências totais) e para reagir apropriadamente a interrupções. Tal como um SGSI, organizações podem se tornar certificadas com relação aos requisitos da ISO 22301:2012.
Esteja atendo ao contexto
Na maioria das vezes, “incidentes” carregam um significado negativo, mas este não é sempre o caso. Da mesma forma, cada definição é um comprometimento e pode não descrever exatamente o termo a ser definido. Como tal, precisamos estar ativamente cientes do contexto onde estamos operando.
Por exemplo, considere as três normas ISO 22301, ISO 27001 e ISO 20000. Se você iniciou com uma destas três estruturas e aprendeu a interpretar a definição de um “incidente” no contexto específico de uma estrutura, você precisa entender que a definição de um “incidente” em outra norma ISO pode ser algo diferente. Talvez você precise especificar mais precisamente os tipos de incidente pela introdução e uso de termos tais como “incidente disruptivo”, “incidente de segurança da informação”, e “incidente de gestão de serviço de TI” para evitar ambiguidades.
Temos que viver com aproximações, e precisamos nos engajar em um diálogo. Este post do blog serve para iniciar tal diálogo.
Use este ISO 27001 Foundations Online Course gratuito para aprender mais sobre incidentes de segurança.
Nós agradecemos a Rhand Leal pela tradução para o português.
