Evento vs. Incidente: Desmistificando os conceitos

As empresas precisam empregar esforços significativos para proteger e impedir que ataques cibernéticos causem danos ou interrupções em seus processos. Sabemos que não há nada “100% seguro”, o risco sempre vai existir.

Por isso, é fundamental que as organizações estejam bem preparadas e sejam capazes de detectar, reagir e gerenciar possíveis problemas de segurança cibernética.

Uma das confusões que ainda vemos no mercado é o uso incorreto dos termos evento e incidente, ora usados como sinônimos, ora usados erroneamente mesmo, apesar de possuírem significados distintos.

Evento

Um evento é qualquer alteração, erro ou interrupção em uma infraestrutura de TI, como por exemplo, uma falha no sistema, um erro em disco ou um usuário que esqueceu a senha de acesso.

Para corroborar, o NIST define um evento como “qualquer ocorrência observável em um sistema ou rede”.

Se você seguir pesquisando outras definições sobre o que é um evento, notará uma sinergia nos conceitos. Porém, quando olhamos para o termo incidente, a coisa muda de figura um pouco com as definições.

Incidente

Ao falar de um incidente, o NIST o define como “uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão”.

Outra definição comum utilizada é essa: “A tentativa ou sucesso de acesso não autorizado, uso, divulgação, modificação ou perda de informações ou interferência nas operações do sistema ou da rede”.

Não distante, é possível observar também que um incidente pode ser definido como a atividade de um agente de ameaça humano.

Detalhe, essas definições não são exaustivas e, portanto, existem outras inúmeras igualmente válidas.

O que o COBIT 5 for Risk nos diz?

Sob o prisma do COBIT 5 for Risk, um evento é apresentado como “algo que acontece em um lugar e/ou tempo específicos”.

No caso do incidente, é definido como “um evento relacionado à TI que causa um impacto operacional de desenvolvimento e/ou estratégico no negócio”.

Considerações Finais

De toda forma, seja qual for a definição que a organização está usando, é importante distinguir com facilidade e naturalidade os eventos que são tratados no percurso normal e padrão dos negócios, assim como os incidentes que exigem segurança e atuação investigativa e cuidadosa para serem gerenciados.

Não se pretende com essas poucas palavras esgotar o assunto, mas apenas dar uma pincelada para reforçar a importância de discernir essas expressões que fazem parte do cotidiano de todos os colaboradores e organizações.

Fiquem à vontade para colaborações e comentários.

.

2 comentários SobreEvento vs. Incidente: Desmistificando os conceitos

  • Com base na leitura da sua publicação, o COBIT não considera incidente, na prática, o escaneamento da rede e a tentativa de login em um sistema, pois esses eventos não causam impacto operacional. Porém pela definição do NIST a mera ameaça já classifica o evento como incidente. Assim, acho que cada empresa deve adotar de acordo com o nível de segurança que sua informação exigir.

    • Olá Gelson,

      Com certeza, não haverá uma única definição “bala de prata” que todas as empresas adotarão e se encaixarão em 100% dos contextos. O que recomendo sempre aos profissionais nas empresas é que conheçam as definições do mercado (NIST, ITIL, COBIT, CIS etc) e crie uma definição que faça sentido para o contexto da empresa que atua.

      Uma informação que pode agregar é o conteúdo apresentado no Glossário do NIST. Ele apresenta termos e definições extraídos do Federal Information Processing Standards (FIPS), NIST Special Publications (SPs) e do NIST Internal/Interagency Reports (IRs), bem como do Committee on National Security Systems (CNSS) CNSSI-4009. Veja esses exemplos, extraídos do glossário: definição de evento e de incidente (repare a quantidade de definições que se entrelaçam).

      É isso aí. Espero ter ajudado. Qualquer coisa, só falar.

      Abraços,

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.