1.

Classificao de incidentes

1.1 Atribuio de grau de Impacto

Os incidentes detetados e analisados encontram-se classificados numa escala de 1 a 9. Esta classificao

resultado do produto do Impacto pela Probabilidade. Sendo a Probabilidade e o Impacto variveis discretas
(com valores de 1 a 3), 1 o valor de menor importncia e 3 o valor de gravidade mais alta.
O impacto inerente explorao de cada vulnerabilidade (problema, incidente, etc) existente, ou a ameaas
passveis de serem desencadeadas contra a estrutura valorizado da seguinte forma:

Impacto
Grau Descrio
Ameaa ou vulnerabilidade existente com impacto
limitado ou diminuto em caso de concretizao.

Nesta classificao recaem os casos de

1
vulnerabilidades que existem, ou possam existir mas
que, devido s medidas de segurana implementadas
(Firewall, IPS, etc) o impacto desprezvel,
inexistente ou desvalorizado pela organizao.
Ameaa ou vulnerabilidade com impacto em alguns
sistemas ou recursos disponibilizados ao exterior, de
visibilidade diminuta.

Os impactos que recaem nesta classificao so

aqueles onde se reconhece alguma importncia mas
que no inviabiliza a disponibilidade, integridade ou
confidencialidade de nenhum dos recursos que
disponibiliza servios visveis ao exterior ou
2
passveis de causar dano imagem desta
organizao. Dano controlvel.

So tambm considerados nesta classe a

indisponibilizao de servios ao exterior sem
relevncia assumida pela organizao, ou no passveis
de no afetar de forma relevante a imagem da
organizao para com essa entidade externa.

Ameaa ou vulnerabilidade com impacto em alguns

sistemas ou recursos disponibilizados ao exterior, com
visibilidade relevante.

Nesta classificao recaem todos os casos que,

manifestamente ou por incorporao de conhecimento
3
na equipa relativamente a problemas passados,
impactem primordialmente na imagem da
organizao para o exterior, nomeadamente por
defacing de pginas web, Disponibilidade em servios
notados como crticos que facultem informao a
terceiros ou a elementos associados.

A classificao segundo o impacto ser um processo tambm de aprendizagem, que ser alimentado pelo prprio
ciclo de vida da anlise de incidentes e problemas da equipa.
1.2 Atribuio de grau de Probabilidade Discreta

A probabilidade baseia-se nos eventos e incidentes passados, no conhecimento intrnseco da equipa e no

conhecimento adquirido com a frequncia de eventos ou incidentes ocorridos no passado. Encontrando-se no
presente momento a equipa ainda em fase de incorporao de conhecimento relativamente a esta organizao, e
sempre que o conhecimento que j detenhamos sobre um tipo especfico de incidente ou problema no seja
suficiente para lhe atribuir uma classificao de probabilidade, poderemos atribuir por defeito um grau 2.
Posteriormente, e conforme o feedback facultado pela organizao, poder-se- majorar, ou minorar, o grau de
probabilidade atribudo.

A probabilidade atribuda assim da seguinte forma:

Probabilidade
Grau Descrio
Sem ocorrncias nos ltimos 6 meses, ou com
contramedidas implementadas que eliminem ou
tenham contribudo para uma diminuio da
probabilidade de incidncia

Nesta categoria encontram-se as vulnerabilidades

1 existentes num determinado recurso que, por incluso
de contramedidas em recursos envolventes que
colmatem ou mitiguem essa vulnerabilidade, ou que,
pela tipificao da falha e decorrente especificao
(Verso do produto afetado, incluso de patch, etc)
seja muito pouco provvel de comprometer esse
recurso.
Ocorrncias dispersas ou sem grande incremento face
aos ltimos 6 meses.

Por defeito, e nos casos para os quais no se detenha

2
ainda conhecimento passado da frequncia dos
eventos ou incidentes em anlise, ser esta a
tipificao adoptada.

Ocorrncias frequentes ou que tenham iniciado ou

incrementado notoriamente a sua frequncia.

Esta classificao atribuda a eventos cuja

3
recorrncia, ou incidncia nos relatrios, eventos ou
incidentes passados sejam evidentes ou de frequncia
maior do que a da mdia dos eventos analisados.
 2. Classificao do Risco

A classificao do risco existente para cada ameaa, resultante da anlise dos incidentes passados, relacionando
os mesmos com os incidentes constantes neste relatrio, obtida pelo produto do Impacto com a Probabilidade,
classificado da seguinte forma:

Impacto
Reduzido Moderado Notrio
Probabilidade

Baixa

Mdia

Alta

O grau atribudo assim resultante do produto obtido entre a Probabilidade e o Impacto atribudo a cada
incidente, ocorrncia ou evento.
A ttulo de exemplo;
Um incidente que tenha ocorrido pela primeira vez no relatrio em anlise e que impacte nos servidores de
Webmail, ser classificado da seguinte forma:

Como este evento ocorreu pela primeira vez, no se possui qualquer histrico ainda da sua ocorrncia. Como a
equipa COSI no detm qualquer referncia relativamente frequncia passada, dever ser atribuda a
classificao da Probabilidade por defeito, ou seja Mdia. Relativamente ao Impacto, como o recurso
disponibiliza unicamente servios para colaboradores internos, no possuindo qualquer impacto visvel para o
exterior e, consequentemente para a imagem da organizao, deve ser classificado como de Impacto Reduzido.
O produto entre a Probabilidade e o Impacto obtm-se atravs da matriz acima definida. Neste Caso um
impacto Reduzido de Probabilidade Mdia obter uma classificao Amarela.

A correspondncia entre a matriz acima definida e o ranking de bolas definido para a RNSI a seguinte:

Cor na Matriz de Risco Ranking Atribudo