Faculdade de Medicina da Universidade

de São Paulo-FMUSP

Núcleo de Tecnologia da Informação – NTI

Plano de Resposta à Incidentes Digitais - PRID

2020

Versão 1.0
 Plano de Resposta à Incidentes Digitais
PRID-FMUSP

O presente documento tem como objetivo único, estabelecer ações e instruções

necessárias quando da identificação e ou notificação de incidentes em ambiente digital,
que comprometam dados institucionais instalados no âmbito da FMUSP. Estes de
responsabilidade do Núcleo de Tecnologia da Informação (NTI), departamentos ou
terceiros.

Definisse Incidente Digital (ID), como quaisquer ações não autorizadas que tenham como
princípio o acesso, divulgação, indisponibilidade, uso ou vazamento de dados, contidos
em sistemas, servidores ou serviços hospedados no âmbito da rede de dados da FMUSP
ou serviços contratados.

A equipe técnica do Núcleo de Tecnologia da Informação – NTI da FMUSP, é

responsável, por sistemas, banco de dados, e aplicações por ela desenvolvido e ou
mantido.

Sistemas e ou aplicações, hospedadas em servidores fisicamente acomodados no

Datacenter da FMUSP, são de responsabilidade de seus desenvolvedores, proprietários e
ou prestadores de serviços contratados.
Definições

Fase(s)/Processo(s)

Detecção: A fase de detecção envolve o processo de identificação de atividades

incomuns na rede, por elementos internos ou externos, que podem comprometer a
disponibilidade, a integridade ou a confidencialidade das informações ou sistemas da
organização. Por este motivo, é importante que se conheça sua infraestrutura e que saiba
identificar um potencial ameaça. Um evento de detecção pode ser proativo ou reativo:
(PINTO, 2017)
Proativo: Quando há envio de informação que pode sugerir potencial atividade
maliciosa ou uma vulnerabilidade, como alertas de vulnerabilidade ou alertas de
segurança de um IDS/IPS, por exemplo.
Reativo: Quando é reportado algum comportamento incomum, interno ou externo,
como a interrupção de sistemas ou alertas enviados por um especialista em
segurança. É essencial que todas as informações relacionadas ao incidente sejam
gravadas e documentadas para futura investigação sobre uma atividade danosa.

Registro: Conjunto de ações para registrar e documentar (seu impacto, quais ativos
estão sendo afetado, quais sistemas que foram comprometidos) o incidente.

Investigação e Contenção: A fase de Investigação e Contenção visa identificar o

incidente, quais sistemas que foram comprometidos, quais danos que foram causados, se
houve vazamento de dados, analisar os arquivos de log em busca de registros do que
pode ter ocasionado o incidente, quais ativos que foram afetados, o impacto do incidente,
envio de comunicado para os usuários e áreas afetadas, e por fim, tomar as medidas para
sanar o incidente.
Encerramento: Nesta fase é registrado todas as ações que foram tomadas para sanar o
incidente, restabelecer os acessos aos sistemas ou a conexão, comunicar os usuários e
as áreas afetadas sobre o restabelecimento dos acessos e o que foi feito e registrar o
encerramento do incidente.

Análise Crítica do Incidente: Após ações de contenção e reativação do ambiente,

serviço ou conexão no qual ocorreu o incidente. Cabe a realização de uma reunião com
os responsáveis diretos com a equipe do NTI, para uma revisão das ações foram feitas
para o restabelecimento seguro, permitindo a criação de uma base de conhecimento. E a
implantação de melhorias que ajudem a mitigar novos incidentes.
Responsabilidades

Em um processo de resposta a incidente digital, torna-se fundamental o estabelecimento

de quais serão os recursos humanos que deverão atuar de forma direta ou indireta e
quais recursos tecnológicos deverão ser empregados.

Coordenação Técnica: Responsável pelas ações de acompanhamento e apoio a toda

equipe de Tecnologia da Informação da FMUSP. Ser ponto de contato com a
administração superior, unidades internas externas e Superintendência de Tecnologia da
Informação da USP.

Departamento de Comunicação Institucional: Equipe de Comunicação da FMUSP.

Que deverá atuar quando necessidade de envio e ou notificações a comunidade afetada
diretamente pelo incidente digital.

Núcleo de Tecnologia da Informação: Compreende o Departamento de Tecnologia da

Informação da FMUSP. Responsável pela infraestrutura e serviços de Tecnologia de
Informação.

Equipe de Infraestrutura: Integrantes do time de infraestrutura e serviços. Com papel de

tomarem a dianteira no entendimento do ocorrido. Isto feito e se necessário farão a
conexão com os demais integrantes de equipes internas ou externas.

Fica estabelecido neste documento que a condução e acionamentos, são de competência

do time de infraestrutura e serviços do NTI-FMUSP.

Outras Equipes/responsáveis por serviços de TI: Entende-se por equipe externa, os

responsáveis pelas aplicações, soluções, sistemas, servidores e ou conexões não
mantidas pela equipe técnica da FMUSP.
 Fluxograma de Resposta a Incidentes Digitais

Descrição de Fases/Processos

Decisão/ Condiçã
Atuante
Fase/Processo Desvios o Ação

Informar a equipe de
NTI
infraestrutura/segurança do NTI

Detecção e Registro Identificar o ambiente ou

Ambiente é de Sim Equipe de Infraestrutura-N
conexão.
responsabilidade
do NTI? Identificar o responsável pelo
Não Equipe de Infraestrutura-N
ambiente ou conexão.
Fase/Processo Decisão/Desvios Condição Ação Atuante
Equipe de Identifica
    Identificar o incidente
Infraestrutura-NTI
Informa
Comunicar a Coordenação Equipe de
    incident
Técnica Infraestrutura-NTI
complex
Comunicar a Diretoria Informa
    Coordenação NTI
Executiva extensão
Informa
    Comunicar o STI-USP Coordenação NTI
ações em
Informar
Acionar a equipe de Equipe de
    institucio
Comunicação Institucional Infraestrutura-NTI
notificaç
Enviar e-
ou
Comunicar os usuários e as Comunicação
    Comunic
áreas sobre o incidente Institucional
Infraestr
Investigaçã de notifi
oe Executar ações de Equipe de
Executa
Contenção     do inc
contenção Infraestrutura-NTI
interrom
É necessário o Fazer contato coma equipe Equipe de Avalia s
Sim
acionamento de equipe interna ou externa Infraestrutura-NTI para a co
de apoio interna ou Equipe de
externa? Não Registra as ações corretivas (ver a de
Infraestrutura-NTI
Comunicar o responsável Equipe de Equipe d
   
pelo ambiente ou conexão Infraestrutura-NTI responsá
Desconectar todas as Equipe de
    Descone
conexões de rede Infraestrutura-NTI
Outras Por ser
Comunicar os usuários e as
    equipes/Responsáveis NTI, ca
áreas sobre incidente
pelos Serviços de TI usuários
Outras Por ser
    Executar ações de correção equipes/Responsáveis NTI, cab
pelos Serviços de TI corretiva
 Decisão/
Fase/Processo Desvios Condição Ação Atuante
Registra as ações Equipe de Regista em p
   
corretivas Infraestrutura-NTI corrigir o inci
Equipe de
    Restabelece o acesso
Infraestrutura-NTI Restabelece
Comunica a Correção Equipe de Informa a
   
Técnica Infraestrutura-NTI restabelecim
Comunicar a Diretoria Informa a
    Coordenação NTI
Executiva funcionalidad
    Comunicar o STI-USP Coordenação NTI Informa ao S
Acionar a equipe de Equipe de Equipe e infr
Sim
Ambiente de Comunicação Institucional Infraestrutura-NTI ambiente ou
Responsabilidade Outras
Comunicar ao responsável
do NTI? Não equipes/Responsáveis Informa do fi
pelo ambiente ou conexão
pelos Serviços de TI ou conexão.
Enviar e-ma
Comunicar os usuários o
comunidade
Encerrament    
restabelecimento do Comunicação
funcionalidad
ambiente e ações Institucional
o realizadas.
Comunicação
e Coordenaç
Equipe de
    Encerrar o incidente Registra o en
Infraestrutura-NTI
Comunicar os usuários o
Outras
restabelecimento do
    equipes/Responsáveis
ambiente e ações Informa do fi
pelos Serviços de TI
realizadas ou conexão.
Outras
    Encerrar o incidente equipes/Responsáveis Registra o en
pelos Serviços de TI
Outras
Registrar as ações Registra ao
    equipes/Responsáveis
corretivas restabelecim
pelos Serviços de TI
Outras
Comunica ao
    Comunicar ao NTI equipes/Responsáveis
a produção.
pelos Serviços de TI

Fase/Processo Decisão/Desvios Condição Ação Atuante

I
Avaliar histórico de
Equipe de ti
    incidentes e oportunidades
Infraestrutura-NTI f
de melhoria
p
Equipe de I
    Implantar melhorias
Infraestrutura-NTI i
Análise crítica do
I
incidente Avaliar histórico de Outras
ti
    incidentes e oportunidades equipes/Responsáveis
f
de melhoria pelos Serviços de TI
p
Outras
I
    Implantar melhorias equipes/Responsáveis
i
pelos Serviços de TI
Referências:
https://www.cert.br/csirts/
https://www.sans.org/
Lei Geral de Proteção de Dados
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm
ABNT NBR ISO/IEC 27701:2019
PINTO, D. F. R, A implantação de uma equipe de resposta à incidentes de segurança em uma
instituição de ensino, 2017. Disponível em: <http://repositorino.uniceub.br>. Acesso em: 09 nov.
2020.