Incidentes no mundo da tecnologia são mais comuns do que se possa imaginar, ainda mais nos dias atuais onde os recursos estão cada vez mais avançados e toda e qualquer disrupção pode se tornar um problema (por menor que ele seja) para as organizações.
Porém, antes de começarmos a falar sobre como lidar com incidentes de TI no ambiente de trabalho, precisamos diferenciar algumas coisas para que fique mais claro como você pode responder a essas situações. Por exemplo: você sabe o que é um plano de resposta aos incidentes de TI? Ou então qual a diferença entre incidente e problema? Pois aqui você vai entender isso e muito mais.
O que é um plano de resposta a incidentes de TI?
Um “plano de resposta” é basicamente um programa ou uma estratégia proposta por uma empresa para administrar o mais rápido possível eventos anômalos que afetam a segurança, a disponibilidade ou o desempenho dos seus sistemas de informação.
Um plano de resposta geralmente constitui alguns passos principais a serem seguidos para conter ou corrigir esses eventos e fazer com que a organização siga funcionando suavemente sem mais interrupções.
Qual a diferença entre eventos, alertas, problemas e incidentes de TI?
Apesar de eventos, alertas, problemas e incidentes de TI parecerem ser o mesmo, eles possuem algumas diferenças entre si, e por isso, são facilmente confundidos. Porém, no mundo tecnológico, essas diferenças são muito importantes, até mesmo para os técnicos entenderem qual a situação a ser tratada.
Eventos
Um evento de TI refere-se a qualquer ocorrência notável ou observável em um sistema ou ambiente de Tecnologia da Informação. Eles podem ser rotineiros e normais, ou anômalos, e quando isso acontece é necessário que haja uma atenção especial, pois se não contidos eles podem se tornar um incidente.
Exemplos de eventos de TI são: logs de sistema, alterações de configurações, monitoramento de desempenho, entre outros.
Alertas
Um alerta é quando há a notificação de um evento no sistema de tecnologia e que necessita de uma atenção a mais de um profissional específico.
Alertas podem ser desde notificações por e-mail ou até mesmo um barulho sonoro, tudo isso para chamar a atenção para uma causa particular.
Incidentes
Um incidente é uma interrupção não planejada que pode causar um impacto negativo ou reduzir a qualidade de um serviço que dependa ou se relacione com a TI. Já o seu gerenciamento é quando profissionais de determinada área buscam restaurar o funcionamento normal de tais interrupções, minimizando qualquer tipo de impacto que possa ocorrer, para que dessa maneira a empresa siga funcionando normalmente.
Exemplos de incidentes podem ser desde uma impressora que não está funcionando corretamente e está afetando todo um andar de uma companhia, como também um usuário de uma empresa que foi vítima de um ataque cibernético. Como este último muitas vezes pode afetar uma empresa inteira de formas muito graves, vamos listar alguns dos ataques cibernéticos mais comuns atualmente e que podem ser considerados incidentes.
Malware
Qualquer tipo de software que é usado para realizar ações maliciosas em um computador ou uma rede. Exemplos comuns de malware são vírus, ransomware, cavalos de troia, spyware, worms, entre outros.
Ataques de Negação de Serviço (DoS) e Distribuídos (DDoS)
São ataques aos recursos de um sistema ou rede, com o objetivo de torná-los indisponíveis para novos acessos. Pode ter, mas não necessariamente terá relação com a legitimidade ou validação desses usuários.
Phishing
São ataques onde o agente malicioso tenta se passar por outra pessoa ou órgão para obter informações confidenciais como senhas, através de e-mails falsos, sites fraudulentos ou mensagens.
Ataques à Dispositivos IoT (Internet das Coisas)
É uma exploração de vulnerabilidades em dispositivos conectados à internet, como webcams, babás eletrônicas ou até mesmo câmeras de segurança.
Problemas
Já problemas, no universo da tecnologia, é a causa raiz de um incidente. O gerenciamento de problemas visa identificar e resolver essas causas-raíz para evitar futuros incidentes.
Como criar uma política de resposta a incidentes?
Uma boa estratégia para criar uma política para incidentes eficaz requer alguns passos muito importantes. A seguir listaremos as etapas mais importantes para que uma política seja bem feita dentro de uma organização.
1. Prepare-se
Antes de tudo, é necessário que a organização já tenha em mente que incidentes sempre ocorrerão, e que por isso, é necessário que se tenha uma equipe preparada para lidar com eles. Assim, é necessário que seja feita uma definição clara dos tipos e categorias de incidentes que podem ocorrer, e outros critérios aplicáveis. Dessa maneira, é comum que delegue-se uma função específica para cada funcionário do time técnico, para que dessa maneira, seja mais fácil e mais rápido lidar com uma situação delicada.
2. Detecte o incidente
Antes de qualquer coisa, é necessário detectar o incidente que está ocorrendo. Nestes casos a detecção pode ocorrer de maneiras diferentes dependendo do seu tipo, ou seja, o incidente pode ser detectado tanto pela abertura de um ticket por um funcionário em um service desk, como também um alerta para a equipe de TI caso o incidente venha em forma de ataques ao sistema.
3. Avalie
Depois disso, é necessário avaliar o tipo de incidente que ocorreu e qual a sua gravidade perante a organização.
4. Comunique-se com as partes interessadas
Após a avaliação, é necessário que as partes interessadas sejam avisadas sobre o mesmo. Um exemplo é: caso um funcionário de uma organização tenha sido um alvo de phishing, é necessário comunicar a todas as partes relevantes que o caso ocorreu. Desta maneira, não apenas as pessoas estarão cientes do que aconteceu como também fica um alerta para outros não passarem pela mesma situação.
5. Contenha
Um passo extremamente importante é a contenção do incidente. É neste passo que as equipes de TI trabalharão ativamente para que o incidente seja controlado. Como o nosso primeiro passo foi a “preparação”, neste passo cada um dos integrantes do time saberá exatamente o que fazer e qual o seu papel, fazendo com que assim o incidente seja contido o mais rapidamente.
6. Resolva
Após conter o incidente, é necessário que ele seja completamente resolvido e que o incidente em vista não se torne um problema recorrente. É aqui que as equipes tentarão o máximo possível resolver o problema, e consequentemente, que ele não volte a acontecer.
7. Comunique-se externamente
Em alguns casos este passo acaba sendo irrelevante, visto que muitas vezes o incidente é interno à organização. Porém, em casos que o incidente afeta clientes ou pessoas externas, é necessário que seja comunicado o ocorrido e que ele também já foi resolvido.
8. Revise
Após todo o ocorrido, é sempre necessário revisar toda a situação e o porquê ela aconteceu. Desta maneira, as equipes de TI conseguem enxergar panoramicamente o início, meio e fim do incidente, e assim aprender com o que ocorreu para evitar futuros incidentes e indisponibilidades..
9. Encerre
O último passo é o encerramento de todo o processo. É aqui que dá-se por finalizado o incidente.
Conte com uma ferramenta de gerenciamento de incidentes
Após todos estes passos, tenho certeza que você e/ou sua equipe técnica saberá como gerenciar um incidente da melhor maneira na sua empresa. Para todos os casos, o Service Desk Plus da ManageEngine pode te ajudar com isso também.
Desde a facilidade na abertura de tickets até o gerenciamento de incidentes e problemas nas empresas, ele é uma solução com foco em médias e grandes empresas, para ajudar a fazer todos esses processos de uma forma muito mais simples e automatizada.
