Close

O caminho para um gerenciamento de incidentes melhor começa aqui

Conheça o ciclo de vida de resposta a incidentes

Passe um tempo com os profissionais de segurança e gerenciamento de incidentes e você vai notar um padrão. As pessoas mais inteligentes desse setor pensam em ciclos, não em linhas retas.

Por quê? Qual o significado? Significa que cada incidente e interrupção não é um evento isolado com um ponto de início e fim (apesar de parecer assim). Os incidentes são uma oportunidade de aprendizado.

Só porque um serviço está "operacional" de novo não significa que o trabalho da equipe tenha terminado. As atividades pós-incidentes devem incluir planos em roteiros futuros, mudar a maneira como você se prepara para incidentes futuros e descobrir itens novos a serem criados, os quais vão evitar mais incidentes no futuro. É um ciclo interminável de melhoria e existem algumas maneiras diferentes de pensar sobre as várias etapas, dependendo da escola de pensamento que você se identifica.

O que é um ciclo de vida de resposta a incidentes?

A resposta a incidentes é o processo de uma empresa para reagir a ameaças de TI, como ataques cibernéticos, violação de segurança e tempo de inatividade do servidor.

O ciclo de vida de resposta a incidentes é a estrutura passo a passo da empresa para identificar e reagir a uma interrupção de serviço ou ameaça à segurança.

Ciclo de vida de resposta a incidentes da Atlassian

Gráfico do ciclo de vida de resposta a incidentes da Atlassian

1. Identificar o incidente

Em geral, a identificação de incidentes começa com ferramentas de monitoramento e alerta. Embora às vezes a gente fica sabendo do incidente pelos clientes ou membros da equipe.

2. Definir canais de comunicação da equipe

A primeira etapa importante é estabelecer os canais de comunicação da equipe de incidentes. O objetivo neste momento é focar as comunicações da equipe em locais bem conhecidos, como um canal dedicado do Slack e uma ponte de videoconferência.

3. Avaliar o impacto e aplicar um nível de gravidade

Agora é hora de avaliar o impacto do incidente para que a equipe possa decidir com quem mais entrar em contato e o que comunicar aos clientes e interessados.

4. Comunicar aos clientes

O objetivo é comunicar aos interessados internos e externos o mais rápido possível. Comunicar com rapidez e precisão ajuda a criar confiança com os clientes e o restante da empresa.

5. Escalonar para os respondentes certos

É bem comum que os respondentes iniciais precisem trazer outras equipes para o incidente, e, para entrar em contato com elas, eles utilizam uma ferramenta de alertas como o Opsgenie.

6. Delegar funções de resposta a incidentes

À medida que membros da equipe adicionais se juntam à resposta, o gerenciador de incidentes delega uma função a eles.

7. Resolver o incidente

Um incidente é resolvido quando o impacto atual ou iminente nos negócios estiver encerrado. Nesse momento, o processo de resposta emergencial é encerrado e a equipe muda para qualquer tarefa de limpeza e análise retrospectiva.

O ciclo de vida de resposta a incidentes do NIST

Outro ciclo de vida padrão de resposta a incidentes do setor vem do NIST. O NIST é um órgão governamental dos EUA que estabelece padrões e práticas em torno de tópicos como resposta a incidentes e segurança cibernética.

NIST é a sigla em inglês para National Institute of Standards and Technology. O órgão americano se autoproclama com orgulho como "um dos laboratórios de ciências físicas mais antigos do país". O órgão trabalha em tudo que envolve tecnologia, incluindo segurança cibernética, tópico em que se tornaram uma das referências do setor para resposta a incidentes com as etapas de resposta a incidentes criadas pelo órgão.

Como a Atlassian, o NIST acredita que nem todos os incidentes podem ser evitados. Então é melhor estar preparado:

"As atividades preventivas baseadas nos resultados das avaliações de risco podem diminuir o número de incidentes, mas nem todos os incidentes podem ser evitados. Uma capacidade de resposta a incidentes é, portanto, necessária para detectar com rapidez incidentes, minimizar perdas e destruição, mitigar as fraquezas que foram exploradas e restaurar os serviços de TI", NIST.

O ciclo de vida de resposta a incidentes do NIST divide a resposta a incidentes em quatro fases principais: preparação, identificação e análise, contenção, erradicação e recuperação e atividade pós-evento.

Fase 1: Preparação

A fase de preparação abrange o trabalho que a empresa faz para se preparar para a resposta a incidentes, incluindo o estabelecimento das ferramentas e recursos certos e treinamento da equipe. Essa fase inclui o trabalho para evitar que incidentes aconteçam.

Fase 2: Identificação e análise

Identificar e avaliar incidentes com precisão é muitas vezes a parte mais difícil da resposta a incidentes para muitas empresas, de acordo com o NIST.

Fase 3: Contenção, erradicação e recuperação

Essa fase se concentra em manter o impacto do incidente o menor possível e mitigar as interrupções de serviço.

Fase 4: Atividade pós-evento

Aprender e melhorar após um incidente é uma das partes mais importantes da resposta a incidentes e a mais ignorada com frequência. Nessa fase, são analisados o incidente e os esforços de resposta a incidentes. Os objetivos são limitar as chances de o incidente acontecer de novo e identificar maneiras de melhorar a atividade futura de resposta a incidentes.

Resposta a incidentes para equipes de DevOps modernas

Over the past decade, the DevOps movement has helped teams reshape how they build, deploy, and operate software. Along with that are innovations on how these teams respond to incidents.

A abordagem de DevOps para gerenciar incidentes não é muito diferente das etapas tradicionais para o gerenciamento de incidentes eficaz. O gerenciamento de incidentes do DevOps inclui uma ênfase explícita no envolvimento de equipes de desenvolvedores desde o início, inclusive de plantão, e na atribuição de trabalhos com base em conhecimentos especializados e não em cargos.

Resposta a incidentes e melhoria contínua

O artigo começou destacando ciclos versus linhas retas. Você vai notar algo que todas essas abordagens de gerenciamento de incidentes têm em comum: elas não são lineares. Cada uma delas inclui os mesmos componentes básicos: formas de definir, detectar e identificar incidentes, formas de responder e agir com rapidez para mitigar incidentes e formas de analisar incidentes para melhorar a detecção e resposta futuras. Não faz sentido analisar um incidente que já aconteceu apenas por causa do incidente em si. Você não pode voltar no tempo e mudar o que aconteceu. Você aprende com o incidente para melhorar a detecção e a resposta futuras. Aprendizado e melhoria constantes e contínuas é como as equipes fecham esse ciclo.

a seguir
On call