Pular para o conteúdo

Evento vs. Incidente: Desmistificando os conceitos

    As empresas precisam empregar esforços significativos para proteger e impedir que ataques cibernéticos causem danos ou interrupções em seus processos. Sabemos que não há nada “100% seguro”, o risco sempre vai existir.

    Por isso, é fundamental que as organizações estejam bem preparadas e sejam capazes de detectar, reagir e gerenciar possíveis problemas de segurança cibernética.

    Uma das confusões que ainda vemos no mercado é o uso incorreto dos termos evento e incidente, ora usados como sinônimos, ora usados erroneamente mesmo, apesar de possuírem significados distintos.

    Evento

    Um evento é qualquer alteração, erro ou interrupção em uma infraestrutura de TI, como por exemplo, uma falha no sistema, um erro em disco ou um usuário que esqueceu a senha de acesso.

    Para corroborar, o NIST define um evento como “qualquer ocorrência observável em um sistema ou rede”.

    Se você seguir pesquisando outras definições sobre o que é um evento, notará uma sinergia nos conceitos. Porém, quando olhamos para o termo incidente, a coisa muda de figura um pouco com as definições.

    Incidente

    Ao falar de um incidente, o NIST o define como “uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão”.

    Outra definição comum utilizada é essa: “A tentativa ou sucesso de acesso não autorizado, uso, divulgação, modificação ou perda de informações ou interferência nas operações do sistema ou da rede”.

    Não distante, é possível observar também que um incidente pode ser definido como a atividade de um agente de ameaça humano.

    Detalhe, essas definições não são exaustivas e, portanto, existem outras inúmeras igualmente válidas.

    O que o COBIT 5 for Risk nos diz?

    Sob o prisma do COBIT 5 for Risk, um evento é apresentado como “algo que acontece em um lugar e/ou tempo específicos”.

    No caso do incidente, é definido como “um evento relacionado à TI que causa um impacto operacional de desenvolvimento e/ou estratégico no negócio”.

    Considerações Finais

    De toda forma, seja qual for a definição que a organização está usando, é importante distinguir com facilidade e naturalidade os eventos que são tratados no percurso normal e padrão dos negócios, assim como os incidentes que exigem segurança e atuação investigativa e cuidadosa para serem gerenciados.

    Não se pretende com essas poucas palavras esgotar o assunto, mas apenas dar uma pincelada para reforçar a importância de discernir essas expressões que fazem parte do cotidiano de todos os colaboradores e organizações.

    Fiquem à vontade para colaborações e comentários.

    .

    2 comentários em “Evento vs. Incidente: Desmistificando os conceitos”

    1. Com base na leitura da sua publicação, o COBIT não considera incidente, na prática, o escaneamento da rede e a tentativa de login em um sistema, pois esses eventos não causam impacto operacional. Porém pela definição do NIST a mera ameaça já classifica o evento como incidente. Assim, acho que cada empresa deve adotar de acordo com o nível de segurança que sua informação exigir.

      1. Olá Gelson,

        Com certeza, não haverá uma única definição “bala de prata” que todas as empresas adotarão e se encaixarão em 100% dos contextos. O que recomendo sempre aos profissionais nas empresas é que conheçam as definições do mercado (NIST, ITIL, COBIT, CIS etc) e crie uma definição que faça sentido para o contexto da empresa que atua.

        Uma informação que pode agregar é o conteúdo apresentado no Glossário do NIST. Ele apresenta termos e definições extraídos do Federal Information Processing Standards (FIPS), NIST Special Publications (SPs) e do NIST Internal/Interagency Reports (IRs), bem como do Committee on National Security Systems (CNSS) CNSSI-4009. Veja esses exemplos, extraídos do glossário: definição de evento e de incidente (repare a quantidade de definições que se entrelaçam).

        É isso aí. Espero ter ajudado. Qualquer coisa, só falar.

        Abraços,

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.