Visão geral do gerenciamento de incidentes de segurança
O que é um incidente de segurança?
A Microsoft define um incidente de segurança em sua serviços online como uma violação confirmada de segurança que leva à destruição acidental ou ilegal, à perda, à alteração, à divulgação não autorizada ou ao acesso aos dados do cliente ou aos dados pessoais durante o processamento pela Microsoft. Por exemplo, o acesso não autorizado à infraestrutura da Microsoft serviços online e a exfiltração de dados do cliente constituiriam um incidente de segurança, enquanto eventos de conformidade que não afetam a confidencialidade, integridade ou disponibilidade de serviços ou dados do cliente não são considerados incidentes de segurança.
Como a Microsoft responde a incidentes de segurança?
Sempre que há um incidente de segurança, a Microsoft se esforça para responder de forma rápida e eficaz para proteger os serviços da Microsoft e os dados do cliente. A Microsoft emprega uma estratégia de resposta a incidentes projetada para investigar, conter e remover ameaças à segurança de forma rápida e eficiente.
Os serviços de nuvem da Microsoft são monitorados continuamente em busca de sinais de comprometimento. Além do monitoramento e alerta de segurança automatizados, todos os funcionários recebem treinamento anual para reconhecer e relatar sinais de possíveis incidentes de segurança. Qualquer atividade suspeita detectada por funcionários, clientes ou ferramentas de monitoramento de segurança é escalonada para equipes de Resposta de Segurança específicas do serviço para investigação. Todas as equipes de operações de serviço, incluindo equipes de Resposta de Segurança específicas do serviço, mantêm uma rotação de chamada profunda para garantir que os recursos estejam disponíveis para resposta a incidentes 24x7x365. Nossas rotações de chamada permitem que a Microsoft monte uma resposta efetiva a incidentes a qualquer momento ou escala, incluindo eventos generalizados ou simultâneos.
Quando a atividade suspeita é detectada e escalonada, as equipes de Resposta de Segurança específicas do serviço iniciam um processo de análise, contenção, erradicação e recuperação. Essas equipes coordenam a análise do possível incidente para determinar seu escopo, incluindo qualquer impacto para clientes ou dados do cliente. Com base nessa análise, as equipes de Resposta de Segurança específicas do serviço trabalham com equipes de serviço afetadas para desenvolver um plano para conter a ameaça e minimizar o impacto do incidente, erradicar a ameaça do ambiente e se recuperar totalmente para um estado seguro conhecido. Equipes de serviço relevantes implementam o plano com suporte de equipes de Resposta de Segurança específicas do serviço para garantir que a ameaça seja eliminada com êxito e os serviços afetados passem por uma recuperação completa.
Depois que um incidente é resolvido, as equipes de serviço implementam todas as lições aprendidas com o incidente para melhor prevenir, detectar e responder a incidentes semelhantes no futuro. Selecione incidentes de segurança, especialmente aqueles incidentes que afetam o cliente ou resultam em uma violação de dados, passam por um incidente completo após a morte. O post-mortem foi projetado para identificar deslizes técnicos, falhas de procedimento, erros manuais e outras falhas de processo que podem ter contribuído para o incidente ou que foram identificados durante o processo de resposta a incidentes. Melhorias identificadas durante a autópsia são implementadas com coordenação das equipes de Resposta de Segurança específicas do serviço para ajudar a prevenir incidentes futuros e melhorar os recursos de detecção e resposta.
Como e quando os clientes são notificados sobre incidentes de segurança ou privacidade?
Sempre que a Microsoft se torna ciente de uma violação de segurança envolvendo perda, divulgação ou modificação não autorizada de dados do cliente, a Microsoft notifica os clientes afetados dentro de 72 horas, conforme descrito no DPA (Adendo de Proteção de Dados). O compromisso com a linha do tempo de notificação começa quando ocorre a declaração oficial de incidentes de segurança. Ao declarar um incidente de segurança, o processo de notificação ocorre o mais rápido possível, sem atrasos indevidos.
As notificações incluem uma descrição da natureza da violação, do impacto aproximado do usuário e das etapas de mitigação (se aplicável). Se a investigação da Microsoft não for concluída no momento da notificação inicial, a notificação também indicará as próximas etapas e cronogramas para a comunicação subsequente.
Se um cliente tomar conhecimento de um incidente que pode ter um impacto na Microsoft, incluindo, mas não se limitando a uma violação de dados, o cliente será responsável por notificar prontamente a Microsoft sobre o incidente, conforme definido no DPA.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados ao gerenciamento de incidentes.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução de Aplicabilidade Certificado |
A.16.1: Gerenciamento de incidentes e melhorias de segurança da informação | 6 de novembro de 2023 |
| ISO 27017 Instrução de Aplicabilidade Certificado |
A.16.1: Gerenciamento de incidentes e melhorias de segurança da informação | 6 de novembro de 2023 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.9.1: Notificação de uma violação de dados envolvendo PII | 6 de novembro de 2023 |
| SOC 1 | IM-1: estrutura de gerenciamento de incidentes IM-2: mecanismos de detecção e alertas IM-3: execução de resposta a incidentes IM-4: pós-morte de incidente IM-6: teste de resposta a incidentes OA-7: acesso de engenheiro de plantão |
17 de novembro de 2023 |
| SOC 2 SOC 3 |
CCM-9: procedimentos forenses CUEC: Relatando incidentes IM-1: estrutura de gerenciamento de incidentes IM-2: mecanismos de detecção e alertas IM-3: execução de resposta a incidentes IM-4: pós-morte de incidente IM-6: teste de resposta a incidentes OA-7: acesso de engenheiro de plantão SOC2-6: site de suporte ao cliente SOC2-9: painéis de serviço |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | IR-4: Tratamento de incidentes IR-6: Relatório de incidentes IR-8: Plano de resposta a incidentes |
31 de julho de 2023 |
| ISO 27001/27002/27017 Instrução de Aplicabilidade Certificação (27001/27002) Certificação (27017) |
A.16.1: Gerenciamento de incidentes e melhorias de segurança da informação | março de 2024 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.10.1: Notificação de uma violação de dados envolvendo PII | março de 2024 |
| SOC 1 | CA-26: Relatório de incidentes de segurança CA-47: Resposta a incidentes |
23 de janeiro de 2024 |
| SOC 2 | CA-12: SLAs (contratos de nível de serviço) CA-13: Guias de resposta a incidentes CA-15: Integridade do serviço notificações CA-26: Relatório de incidentes de segurança CA-29: Engenheiros de plantão CA-47: Resposta a incidentes |
23 de janeiro de 2024 |
| SOC 3 | CUEC-08: Relatando incidentes | 23 de janeiro de 2024 |
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de