As empresas precisam empregar esforços significativos para proteger e impedir que ataques cibernéticos causem danos ou interrupções em seus processos. Sabemos que não há nada “100% seguro”, o risco sempre vai existir.
Por isso, é fundamental que as organizações estejam bem preparadas e sejam capazes de detectar, reagir e gerenciar possíveis problemas de segurança cibernética.
Uma das confusões que ainda vemos no mercado é o uso incorreto dos termos evento e incidente, ora usados como sinônimos, ora usados erroneamente mesmo, apesar de possuírem significados distintos.
Evento
Um evento é qualquer alteração, erro ou interrupção em uma infraestrutura de TI, como por exemplo, uma falha no sistema, um erro em disco ou um usuário que esqueceu a senha de acesso.
Para corroborar, o NIST define um evento como “qualquer ocorrência observável em um sistema ou rede”.
Se você seguir pesquisando outras definições sobre o que é um evento, notará uma sinergia nos conceitos. Porém, quando olhamos para o termo incidente, a coisa muda de figura um pouco com as definições.
Incidente
Ao falar de um incidente, o NIST o define como “uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão”.
Outra definição comum utilizada é essa: “A tentativa ou sucesso de acesso não autorizado, uso, divulgação, modificação ou perda de informações ou interferência nas operações do sistema ou da rede”.
Não distante, é possível observar também que um incidente pode ser definido como a atividade de um agente de ameaça humano.
Detalhe, essas definições não são exaustivas e, portanto, existem outras inúmeras igualmente válidas.
O que o COBIT 5 for Risk nos diz?
Sob o prisma do COBIT 5 for Risk, um evento é apresentado como “algo que acontece em um lugar e/ou tempo específicos”.
No caso do incidente, é definido como “um evento relacionado à TI que causa um impacto operacional de desenvolvimento e/ou estratégico no negócio”.
Considerações Finais
De toda forma, seja qual for a definição que a organização está usando, é importante distinguir com facilidade e naturalidade os eventos que são tratados no percurso normal e padrão dos negócios, assim como os incidentes que exigem segurança e atuação investigativa e cuidadosa para serem gerenciados.
Não se pretende com essas poucas palavras esgotar o assunto, mas apenas dar uma pincelada para reforçar a importância de discernir essas expressões que fazem parte do cotidiano de todos os colaboradores e organizações.
Fiquem à vontade para colaborações e comentários.
.
2 comentários SobreEvento vs. Incidente: Desmistificando os conceitos
Com base na leitura da sua publicação, o COBIT não considera incidente, na prática, o escaneamento da rede e a tentativa de login em um sistema, pois esses eventos não causam impacto operacional. Porém pela definição do NIST a mera ameaça já classifica o evento como incidente. Assim, acho que cada empresa deve adotar de acordo com o nível de segurança que sua informação exigir.
Olá Gelson,
Com certeza, não haverá uma única definição “bala de prata” que todas as empresas adotarão e se encaixarão em 100% dos contextos. O que recomendo sempre aos profissionais nas empresas é que conheçam as definições do mercado (NIST, ITIL, COBIT, CIS etc) e crie uma definição que faça sentido para o contexto da empresa que atua.
Uma informação que pode agregar é o conteúdo apresentado no Glossário do NIST. Ele apresenta termos e definições extraídos do Federal Information Processing Standards (FIPS), NIST Special Publications (SPs) e do NIST Internal/Interagency Reports (IRs), bem como do Committee on National Security Systems (CNSS) CNSSI-4009. Veja esses exemplos, extraídos do glossário: definição de evento e de incidente (repare a quantidade de definições que se entrelaçam).
É isso aí. Espero ter ajudado. Qualquer coisa, só falar.
Abraços,