Compartilhar via


Visão geral do gerenciamento de incidentes de segurança

O que é um incidente de segurança?

A Microsoft define um incidente de segurança em sua serviços online como uma violação confirmada de segurança que leva à destruição acidental ou ilegal, à perda, à alteração, à divulgação não autorizada ou ao acesso aos dados do cliente ou aos dados pessoais durante o processamento pela Microsoft. Por exemplo, o acesso não autorizado à infraestrutura de serviços online da Microsoft e a transferência excedida de dados do cliente constituiriam um incidente de segurança, enquanto os eventos de conformidade que não afetam a confidencialidade, integridade ou disponibilidade de serviços ou dados do cliente não são considerados incidentes de segurança.

Como é que a Microsoft responde a incidentes de segurança?

Sempre que ocorrer um incidente de segurança, a Microsoft esforça-se por responder de forma rápida e eficaz para proteger os serviços Microsoft e os dados dos clientes. A Microsoft utiliza uma estratégia de resposta a incidentes concebida para investigar, conter e remover ameaças de segurança de forma rápida e eficiente.

Os serviços cloud da Microsoft são continuamente monitorizados para obter sinais de comprometimento. Além da monitorização e alertas de segurança automatizados, todos os funcionários recebem formação anual para reconhecer e comunicar sinais de potenciais incidentes de segurança. Qualquer atividade suspeita detetada por funcionários, clientes ou ferramentas de monitorização de segurança é escalada para as equipas de Resposta de Segurança específicas do serviço para investigação. Todas as equipas de operações de serviço, incluindo as equipas de Resposta de Segurança específicas do serviço, mantêm uma rotação de chamada profunda para garantir que os recursos estão disponíveis para resposta a incidentes 24x7x365. As nossas rotações de chamada permitem à Microsoft montar uma resposta eficaz a incidentes em qualquer altura ou dimensionamento, incluindo eventos generalizados ou simultâneos.

Quando a atividade suspeita é detetada e escalada, as equipas de Resposta de Segurança específicas do serviço iniciam um processo de análise, contenção, erradicação e recuperação. Estas equipas coordenam a análise do potencial incidente para determinar o âmbito, incluindo qualquer impacto nos dados dos clientes ou do cliente. Com base nesta análise, as equipas de Resposta de Segurança específicas do serviço trabalham com equipas de serviço afetadas para desenvolver um plano para conter a ameaça e minimizar o impacto do incidente, erradicar a ameaça do ambiente e recuperar totalmente para um estado seguro conhecido. As equipas de serviço relevantes implementam o plano com suporte das equipas de Resposta de Segurança específicas do serviço para garantir que a ameaça é eliminada com êxito e que os serviços afetados são submetidos a uma recuperação completa.

Após a resolução de um incidente, as equipas de serviço implementam quaisquer lições aprendidas com o incidente para melhor prevenir, detetar e responder a incidentes semelhantes no futuro. Selecione incidentes de segurança, especialmente os incidentes que afetam o cliente ou resultam numa falha de segurança de dados, são submetidos a uma autópsia de incidente completa. O post-mortem foi projetado para identificar deslizes técnicos, falhas de procedimento, erros manuais e outras falhas de processo que podem ter contribuído para o incidente ou que foram identificados durante o processo de resposta a incidentes. As melhorias identificadas durante a autópsia são implementadas com coordenação das equipas de Resposta de Segurança específicas do serviço para ajudar a prevenir futuros incidentes e melhorar as capacidades de deteção e resposta.

Como e quando os clientes são notificados de incidentes de segurança ou privacidade?

Sempre que a Microsoft tomar conhecimento de uma falha de segurança que envolva perdas não autorizadas, divulgação ou modificação de dados de clientes, a Microsoft notifica os clientes afetados no prazo de 72 horas, conforme descrito na Adenda à Proteção de Dados (DPA). O compromisso com a linha do tempo de notificação começa quando ocorre a declaração oficial de incidentes de segurança. Ao declarar um incidente de segurança, o processo de notificação ocorre o mais rápido possível, sem atrasos indevidos.

As notificações incluem uma descrição da natureza da falha, impacto aproximado do utilizador e passos de mitigação (se aplicável). Se a investigação da Microsoft não estiver concluída no momento da notificação inicial, a notificação também indicará os próximos passos e linhas cronológicas para comunicação subsequente.

Se um cliente tomar conhecimento de um incidente que possa ter um impacto na Microsoft, incluindo, mas não se limitando a uma falha de segurança de dados, o cliente é responsável por notificar prontamente a Microsoft do incidente, conforme definido no DPA.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a gestão de incidentes.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Declaração de Aplicabilidade
Certificado
A.16.1: Gestão de incidentes e melhorias de segurança de informações 6 de novembro de 2023
ISO 27017

Declaração de Aplicabilidade
Certificado
A.16.1: Gestão de incidentes e melhorias de segurança de informações 6 de novembro de 2023
ISO 27018

Declaração de Aplicabilidade
Certificado
A.9.1: Notificação de uma falha de segurança de dados que envolve o PII 6 de novembro de 2023
SOC 1 IM-1: Arquitetura de gestão de incidentes
IM-2: Mecanismos de deteção e alertas
MI-3: Execução da resposta a incidentes
MI-4: Autópsias de incidentes
MI-6: Teste de resposta a incidentes
OA-7: Acesso de engenheiro de serviço
20 de maio de 2024
SOC 2
SOC 3
CCM-9: Procedimentos forenses
CUEC: Reportar incidentes
IM-1: Arquitetura de gestão de incidentes
IM-2: Mecanismos de deteção e alertas
MI-3: Execução da resposta a incidentes
MI-4: Autópsias de incidentes
MI-6: Teste de resposta a incidentes
OA-7: Acesso de engenheiro de serviço
SOC2-6: Site de Suporte ao Cliente
SOC2-9: Dashboards de serviço
20 de maio de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP (Office 365) IR-4: Processamento de incidentes
IR-6: Relatório de incidentes
IR-8: Plano de resposta a incidentes
31 de julho de 2023
ISO 27001/27002/27017

Declaração de Aplicabilidade
Certificação (27001/27002)
Certificação (27017)
A.16.1: Gestão de incidentes e melhorias de segurança de informações Março de 2024
ISO 27018

Declaração de Aplicabilidade
Certificado
A.10.1: Notificação de uma falha de segurança de dados que envolve o PII Março de 2024
SOC 1 CA-26: Relatório de incidentes de segurança
CA-47: Resposta a incidentes
23 de janeiro de 2024
SOC 2 CA-12: Contratos de nível de serviço (SLAs)
CA-13: Guias de resposta a incidentes
CA-15: Notificações do estado de funcionamento do serviço

CA-26: Relatório de incidentes de segurança
CA-29: Engenheiros de serviço
CA-47: Resposta a incidentes
23 de janeiro de 2024
SOC 3 CUEC-08: Reportar incidentes 23 de janeiro de 2024

Recursos