Normas de Sistema de gest\u00e3o, especialmente aquelas que lidam com seguran\u00e7a e interrup\u00e7\u00f5es de processos de neg\u00f3cio, usam o termo \u201cgest\u00e3o de incidente\u201d. Como estas normas de sistemas de gest\u00e3o lidam com diferentes aspectos da gest\u00e3o de processos de neg\u00f3cio (Gest\u00e3o de Servi\u00e7os de TI, Seguran\u00e7a da Informa\u00e7\u00e3o, Continuidade de Neg\u00f3cio, Seguran\u00e7a da Cadeia de Suprimento, e possivelmente outras), o termo \u00e9 largamente usado mas possui um diferente significado dependendo do contexto. Sobre isso, muitas das normas tamb\u00e9m usam o termo \u201cevento\u201d.<\/p>\n
De forma a simplificar as coisas, vamos tentar explicar a rela\u00e7\u00e3o entre \u201cevento\u201d e \u201cincidente\u201d. O ISO\/IEC Guide 73 (um vocabul\u00e1rio de gest\u00e3o de riscos da ISO) define um evento como uma \u201cocorr\u00eancia que mudaria um conjunto particular de circunst\u00e2ncias\u201d. Como isto n\u00e3o \u00e9 claro, a ISO 22301:2012<\/a> usa ao menos quarto notas de forma a melhor explicar a defini\u00e7\u00e3o de um evento. Os autores desta defini\u00e7\u00e3o provavelmente pensaram em eventos como sendo um tipo de mudan\u00e7a (s\u00fabita) sem um resultado negativo. Por exemplo, um evento pode n\u00e3o ter nenhuma implica\u00e7\u00e3o negativa \u2013 algo apenas mudou (ex.: um de tr\u00eas conjuntos de ar condicionado \u00e9 desligado para manuten\u00e7\u00e3o).<\/p>\n Como tal, o termo \u201cevento\u201d pode ser usado como uma express\u00e3o neutra. \u201cIncidentes\u201d, ao contr\u00e1rio, pode possuir um significado negativo, de acordo com a defini\u00e7\u00e3o deles em diferentes normas ISO. Por exemplo, se o desligamento do terceiro conjunto de ar condicionado imediatamente sobrecarrega e desliga os dois conjuntos restantes, o evento evoluiu para um incidente.<\/p>\n Encontre mais explica\u00e7\u00f5es de terminologias das normas no artigo Explana\u00e7\u00e3o da terminologia b\u00e1sica das normas ISO<\/a>.<\/p>\n A Norma ISO\/IEC em Gest\u00e3o de Servi\u00e7os de TI (ISO\/IEC 20000-1:2011)<\/a>, em sua defini\u00e7\u00e3o 3.10, sublinha as duas faces dos incidentes. Enquanto existem certos incidentes que s\u00e3o conectados a uma interrup\u00e7\u00e3o n\u00e3o planejada de um servi\u00e7o (impacto negative para um ou mais usu\u00e1rios), uma indica\u00e7\u00e3o que um dos discos r\u00edgidos de um conjunto de discos espelhados desenvolveu uma falha pode ser um tipo de incidente sem um impacto negativo imediato, de acordo com a defini\u00e7\u00e3o acima: \u201c\u2026 uma redu\u00e7\u00e3o na qualidade do servi\u00e7o \u2026 que ainda n\u00e3o impactou o servi\u00e7o para o cliente\u201d. Contudo, na gest\u00e3o de servi\u00e7os de TI, incidentes est\u00e3o sendo conectados a interrup\u00e7\u00f5es ou uma redu\u00e7\u00e3o na qualidade dos servi\u00e7os aos usu\u00e1rios. Estes incidentes precisam ser cuidados por uma estrutura de gest\u00e3o de incidentes apropriada.<\/p>\n Da mesma forma, a ISO 20000 considera, em adi\u00e7\u00e3o aos incidentes \u201cnormais\u201d, os chamados incidentes de seguran\u00e7a da informa\u00e7\u00e3o. Como mencionado na defini\u00e7\u00e3o 3.12: \u201c\u2026 eventos de seguran\u00e7a n\u00e3o esperados \u2026 probabilidade significativa \u2026 amea\u00e7ando a seguran\u00e7a da informa\u00e7\u00e3o\u201d. \u00a0Estes s\u00e3o incidentes que s\u00e3o diretamente relacionados a assuntos de seguran\u00e7a, em contraste a incidentes que, por exemplo, est\u00e3o relacionados a interrup\u00e7\u00f5es de sistema.<\/p>\n Precisamos lembrar que nem todos os incidentes em gest\u00e3o de servi\u00e7os de est\u00e3o relacionados \u00e0 seguran\u00e7a. Por exemplo, a perda de capacidade de impress\u00e3o \u00e9 um incidente, mas pode n\u00e3o estar relacionado a assuntos de seguran\u00e7a.<\/p>\n A ISO\/IEC 27000:2016, em sua defini\u00e7\u00e3o 2.36 (incidente de seguran\u00e7a da informa\u00e7\u00e3o), sublinha o impacto nas opera\u00e7\u00f5es do neg\u00f3cio com respeito \u00e0 seguran\u00e7a da informa\u00e7\u00e3o. Como tal, todas as tr\u00eas dimens\u00f5es da seguran\u00e7a da informa\u00e7\u00e3o: confidencialidade, integridade, e disponibilidade \u2013 podem ser afetadas. Por exemplo, documenta\u00e7\u00e3o confidencial pode ter sido exposta, malware pode ter corrompido dados, ou sistemas podem ter sido colocados fora de opera\u00e7\u00e3o devido a um ciber-ataque.<\/p>\n De forma a lidar com estes tipos de incidentes, uma estrutura de gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o precisar estar implementada. O Anexo A<\/a> da ISO\/IEC 27001:2013<\/a> chama por tal estrutura na se\u00e7\u00e3o A.16. Ela tamb\u00e9m lista um n\u00famero de controles que precisam estar implementados.<\/p>\n Veja tamb\u00e9m o artigo How to handle incidents according to ISO 27001 A.16<\/a> para aprender mais sobre incidentes de seguran\u00e7a.<\/p>\n Na fam\u00edlia de normas para gest\u00e3o da seguran\u00e7a na cadeia de suprimento, a gest\u00e3o de incidentes tamb\u00e9m \u00e9 de import\u00e2ncia. Por exempla, a ISO 28003:2007 (governando a certifica\u00e7\u00e3o de sistemas de gest\u00e3o da seguran\u00e7a da cadeia de suprimento) at\u00e9 mesmo pede aos auditores para saber como responder a incidentes de seguran\u00e7a.<\/p>\n A ISO 22301:2012, em sua defini\u00e7\u00e3o 3.19, que \u00e9 baseada na ISO 22300:2012, claramente coloca uma interpreta\u00e7\u00e3o negativa na defini\u00e7\u00e3o de um incidente<\/a>. Os autores usam a express\u00e3o \u201cincidente disruptivo\u201d em muitas partes da norma. Isto \u00e9 para sublinhar que em continuidade de neg\u00f3cio, consequ\u00eancia s\u00e9rias podem resultar de interrup\u00e7\u00f5es de neg\u00f3cios. As consequ\u00eancias podem ser muito mais graves quando comparadas a incidentes tipicamente menores na gest\u00e3o de servi\u00e7os de TI.<\/p>\n Consequ\u00eancias t\u00edpicas destes tipos de incidentes \u2013 de acordo com esta defini\u00e7\u00e3o \u2013 s\u00e3o interrup\u00e7\u00f5es de processo, perdas de vidas humanas e de ativos, emerg\u00eancias ou crises. Interrup\u00e7\u00f5es podem ter uma grande variedade de causas e podem impactar n\u00e3o apenas ativos de tecnologia da informa\u00e7\u00e3o, mas quaisquer ativos da organiza\u00e7\u00e3o. Essencialmente, a continuidade de neg\u00f3cio prepara para tais incidentes<\/a>\u00a0(que podem evoluir para emerg\u00eancias totais) e para reagir apropriadamente a interrup\u00e7\u00f5es. Tal como um SGSI, organiza\u00e7\u00f5es podem se tornar certificadas com rela\u00e7\u00e3o aos requisitos da ISO 22301:2012.<\/p>\n Na maioria das vezes, \u201cincidentes\u201d carregam um significado negativo, mas este n\u00e3o \u00e9 sempre o caso. Da mesma forma, cada defini\u00e7\u00e3o \u00e9 um comprometimento e pode n\u00e3o descrever exatamente o termo a ser definido. Como tal, precisamos estar ativamente cientes do contexto onde estamos operando.<\/p>\n Por exemplo, considere as tr\u00eas normas ISO 22301, ISO 27001 e ISO 20000. Se voc\u00ea iniciou com uma destas tr\u00eas estruturas e aprendeu a interpretar a defini\u00e7\u00e3o de um \u201cincidente\u201d no contexto espec\u00edfico de uma estrutura, voc\u00ea precisa entender que a defini\u00e7\u00e3o de um \u201cincidente\u201d em outra norma ISO pode ser algo diferente. Talvez voc\u00ea precise especificar mais precisamente os tipos de incidente pela introdu\u00e7\u00e3o e uso de termos tais como \u201cincidente disruptivo\u201d, \u201cincidente de seguran\u00e7a da informa\u00e7\u00e3o\u201d, e \u201cincidente de gest\u00e3o de servi\u00e7o de TI\u201d para evitar ambiguidades.<\/p>\n Temos que viver com aproxima\u00e7\u00f5es, e precisamos nos engajar em um di\u00e1logo. Este post do blog serve para iniciar tal di\u00e1logo.<\/p>\n Use este \u00a0<\/em>ISO 27001 Foundations Online Course<\/a> gratuito para aprender mais sobre incidentes de seguran\u00e7a.<\/em><\/p>\nIncidentes na Gest\u00e3o de Servi\u00e7os de TI<\/h2>\n
Incidentes em Seguran\u00e7a da Informa\u00e7\u00e3o<\/h2>\n
Incidentes na Gest\u00e3o de Seguran\u00e7a da Cadeia de Suprimento<\/h2>\n
Incidentes em Continuidade de Neg\u00f3cio e Resili\u00eancia<\/h2>\n
Esteja atendo ao contexto<\/h2>\n