Teste de Capacidade de Resposta a Incidentes

Um incidente de Segurança Informática é um evento que ocorre num sistema e que constitui uma ameaça para o negócio da empresa ou para a segurança ou privacidade dos seus colaboradores. A gestão de riscos é imprescindível para uma boa gestão corporativa. Permite a uma organização cuidar dos riscos a que está sujeita com menores custos. Pode definir-se risco como a combinação da probabilidade de um evento acontecer e as suas consequências nos objetivos da organização. Os riscos podem ser externos ou internos e classificados por natureza estratégicos, operacionais ou financeiros. Um processo de gestão de riscos deve seguir uma estrutura lógica:

1. Apreciação de riscos
   • Análise de Riscos - Identificação de riscos (activos; vulnerabilidades; ameaças; consequências; controlos existentes; registo dos riscos)
   • Estimativa de riscos
   • Avaliação de riscos
2. Tratamento de Riscos
   • Redução do risco
   • Retenção do risco
   • Evitar o risco
   • Transferência dos riscos
3. Aceitação do risco
4. Monitoramento e revisão
5. Comunicação e consulta

Para minimizar custos em eventuais falhas de disponibilidade de serviços informáticos é crucial existir um plano de prevenção, deteção e resposta a incidentes. Em coordenação com a empresa e garantindo contratualmente o necessário sigilo, efetuam-se diferentes tipos de ataques com o objetivo de identificar e de perceber se estes são detetados atempadamente pela empresa e qual o seu grau de maturidade relativamente à sua capacidade de resposta à ameaça identificada.