Teste de Capacidade de Resposta a Incidentes

Um incidente de Segurança Informática é um evento que ocorre num sistema e que constitui uma ameaça para o negócio da empresa ou para a segurança ou privacidade dos seus colaboradores. A gestão de riscos é imprescindível para uma boa gestão corporativa. Permite a uma organização cuidar dos riscos a que está sujeita com menores custos. Pode definir-se risco como a combinação da probabilidade de um evento acontecer e as suas consequências nos objetivos da organização. Os riscos podem ser externos ou internos e classificados por natureza estratégicos, operacionais ou financeiros. Um processo de gestão de riscos deve seguir uma estrutura lógica:

  1. Apreciação de riscos
    • Análise de Riscos - Identificação de riscos (activos; vulnerabilidades; ameaças; consequências; controlos existentes; registo dos riscos)
    • Estimativa de riscos
    • Avaliação de riscos
  2. Tratamento de Riscos
    • Redução do risco
    • Retenção do risco
    • Evitar o risco
    • Transferência dos riscos
  3. Aceitação do risco
  4. Monitoramento e revisão
  5. Comunicação e consulta
Para minimizar custos em eventuais falhas de disponibilidade de serviços informáticos é crucial existir um plano de prevenção, deteção e resposta a incidentes. Em coordenação com a empresa e garantindo contratualmente o necessário sigilo, efetuam-se diferentes tipos de ataques com o objetivo de identificar e de perceber se estes são detetados atempadamente pela empresa e qual o seu grau de maturidade relativamente à sua capacidade de resposta à ameaça identificada.