Plano de Identificação, Resolução e Prevenção de Incidentes

Os incidentes podem ser detectados por meio de sistemas de monitoramento dos ativos críticos da infraestrutura, redes, aplicações e ferramentas de apoio aos serviços; acompanhamento de contratos; indicadores operacionais; registros no SGO; comunicação de clientes; comunicação de gestores, prepostos, recursos humanos, financeiro, departamento pessoal ou demais áreas envolvidas; auditorias; análise de riscos; e observação direta das equipes.

Quando detectados por monitoramento automatizado, os alertas devem ser encaminhados à equipe responsável para análise e priorização. Quando identificados por pessoas ou áreas de negócio, os eventos devem ser comunicados por meio de registro no SGO, descrevendo o evento, data e hora de ocorrência ou identificação, serviço ou contrato afetado, impacto observado ou potencial e partes envolvidas.

Cada incidente detectado deve ser registrado na ferramenta de forma organizada e acessível, com informações de data, hora, descrição detalhada do incidente, sistemas ou serviços afetados e usuários envolvidos. Todas as informações coletadas sobre o evento/incidente ficam registradas no SGO.

Cada incidente é classificado de acordo com sua natureza e prioridade, considerando a gravidade e o impacto nos negócios. Deve ser estabelecido um acompanhamento contínuo para atualizar o status e ações tomadas. Também deve ser identificado se o incidente afeta um usuário, um departamento ou toda a organização. A priorização determina a urgência e a importância de cada incidente, permitindo uma resposta eficiente. Os critérios de priorização incluem a urgência, que avalia a necessidade de uma resolução rápida, e o impacto, que considera a extensão do efeito no negócio e nos usuários, por exemplo interrupção dos serviços, perda de dados, etc. Os incidentes são classificados em níveis de prioridade (crítica, alta, média e baixa) para direcionar recursos adequadamente, garantindo que os incidentes mais críticos sejam tratados primeiro, minimizando o tempo de inatividade e o impacto nas operações.

A fase de contenção visa limitar o impacto do incidente sobre o serviço, o contrato, as partes interessadas e a organização, evitando agravamento da situação ou descumprimento dos compromissos assumidos. A contenção pode envolver ações técnicas, operacionais, administrativas ou de comunicação, tais como acionamento de contingência, alocação temporária de recursos, uso de ferramentas alternativas, priorização de atendimento, comunicação preventiva ao cliente ou isolamento de um problema de infraestrutura, ou segurança.

Após conter o incidente, a fase de diagnóstico envolve identificar a causa provável, os serviços impactados, a extensão do efeito sobre os compromissos de serviço e as ações necessárias para restauração. O diagnóstico pode envolver análise de registros no SGO, logs de sistemas, indicadores de desempenho, histórico de ocorrências, informações contratuais, entrevistas com partes envolvidas, avaliação de disponibilidade de profissionais, revisão de processos executados e comunicação com áreas responsáveis.

Nesta fase devem ser restauradas as condições normais de prestação do serviço, incluindo sistemas, infraestrutura, ferramentas, pessoas, informações, comunicações ou atividades operacionais afetadas pelo incidente. É recomendável conduzir uma análise pós-incidente para avaliar a eficácia da resposta e identificar melhorias que possam ser feitas em relação aos processos, ferramentas, infraestrutura, comunicação, controles operacionais ou práticas de gestão para evitar futuros incidentes semelhantes. Após a resolução, o registro é encerrado com uma descrição da solução e uma análise pós-incidente, incluindo lições aprendidas.

Comunicar aos envolvidos no incidente, usuários e outras partes interessadas, durante todo o processo, quando necessário, informando sobre a situação do incidente, os esforços de resolução e as etapas futuras. Comunicar a Diretoria e o Comitê de Segurança da Informação em caso de incidentes graves. Em casos de incidentes que envolvam dados pessoais que estejam previstos na LGPD (Lei Geral de Proteção de Dados Pessoais) deve ser realizada a comunicação à ANPD (Autoridade Nacional de Proteção de Dados).

O incidente resolvido é fechado e documentado no SGO, registrando-se as ações tomadas, a solução implementada, as partes envolvidas, as evidências de restauração do serviço e, quando aplicável, as lições aprendidas e ações preventivas. Essa documentação é importante para fins de rastreabilidade, aprendizado organizacional e análise de tendências, visando a melhoria contínua da prestação dos serviços.