Visão geral do gerenciamento de incidentes de segurança
O que é um incidente de segurança?
A Microsoft define um incidente de segurança em sua serviços online como uma violação confirmada de segurança que leva à destruição acidental ou ilegal, à perda, à alteração, à divulgação não autorizada ou ao acesso aos dados do cliente ou aos dados pessoais durante o processamento pela Microsoft. Por exemplo, o acesso não autorizado à infraestrutura de serviços online da Microsoft e a transferência excedida de dados do cliente constituiriam um incidente de segurança, enquanto os eventos de conformidade que não afetam a confidencialidade, integridade ou disponibilidade de serviços ou dados do cliente não são considerados incidentes de segurança.
Como é que a Microsoft responde a incidentes de segurança?
Sempre que ocorrer um incidente de segurança, a Microsoft esforça-se por responder de forma rápida e eficaz para proteger os serviços Microsoft e os dados dos clientes. A Microsoft utiliza uma estratégia de resposta a incidentes concebida para investigar, conter e remover ameaças de segurança de forma rápida e eficiente.
Os serviços cloud da Microsoft são continuamente monitorizados para obter sinais de comprometimento. Além da monitorização e alertas de segurança automatizados, todos os funcionários recebem formação anual para reconhecer e comunicar sinais de potenciais incidentes de segurança. Qualquer atividade suspeita detetada por funcionários, clientes ou ferramentas de monitorização de segurança é escalada para as equipas de Resposta de Segurança específicas do serviço para investigação. Todas as equipas de operações de serviço, incluindo as equipas de Resposta de Segurança específicas do serviço, mantêm uma rotação de chamada profunda para garantir que os recursos estão disponíveis para resposta a incidentes 24x7x365. As nossas rotações de chamada permitem à Microsoft montar uma resposta eficaz a incidentes em qualquer altura ou dimensionamento, incluindo eventos generalizados ou simultâneos.
Quando a atividade suspeita é detetada e escalada, as equipas de Resposta de Segurança específicas do serviço iniciam um processo de análise, contenção, erradicação e recuperação. Estas equipas coordenam a análise do potencial incidente para determinar o âmbito, incluindo qualquer impacto nos dados dos clientes ou do cliente. Com base nesta análise, as equipas de Resposta de Segurança específicas do serviço trabalham com equipas de serviço afetadas para desenvolver um plano para conter a ameaça e minimizar o impacto do incidente, erradicar a ameaça do ambiente e recuperar totalmente para um estado seguro conhecido. As equipas de serviço relevantes implementam o plano com suporte das equipas de Resposta de Segurança específicas do serviço para garantir que a ameaça é eliminada com êxito e que os serviços afetados são submetidos a uma recuperação completa.
Após a resolução de um incidente, as equipas de serviço implementam quaisquer lições aprendidas com o incidente para melhor prevenir, detetar e responder a incidentes semelhantes no futuro. Selecione incidentes de segurança, especialmente os incidentes que afetam o cliente ou resultam numa falha de segurança de dados, são submetidos a uma autópsia de incidente completa. O post-mortem foi projetado para identificar deslizes técnicos, falhas de procedimento, erros manuais e outras falhas de processo que podem ter contribuído para o incidente ou que foram identificados durante o processo de resposta a incidentes. As melhorias identificadas durante a autópsia são implementadas com coordenação das equipas de Resposta de Segurança específicas do serviço para ajudar a prevenir futuros incidentes e melhorar as capacidades de deteção e resposta.
Como e quando os clientes são notificados de incidentes de segurança ou privacidade?
Sempre que a Microsoft tomar conhecimento de uma falha de segurança que envolva perdas não autorizadas, divulgação ou modificação de dados de clientes, a Microsoft notifica os clientes afetados no prazo de 72 horas, conforme descrito na Adenda à Proteção de Dados (DPA). O compromisso com a linha do tempo de notificação começa quando ocorre a declaração oficial de incidentes de segurança. Ao declarar um incidente de segurança, o processo de notificação ocorre o mais rápido possível, sem atrasos indevidos.
As notificações incluem uma descrição da natureza da falha, impacto aproximado do utilizador e passos de mitigação (se aplicável). Se a investigação da Microsoft não estiver concluída no momento da notificação inicial, a notificação também indicará os próximos passos e linhas cronológicas para comunicação subsequente.
Se um cliente tomar conhecimento de um incidente que possa ter um impacto na Microsoft, incluindo, mas não se limitando a uma falha de segurança de dados, o cliente é responsável por notificar prontamente a Microsoft do incidente, conforme definido no DPA.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a gestão de incidentes.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001 Declaração de Aplicabilidade Certificado |
A.16.1: Gestão de incidentes e melhorias de segurança de informações | 8 de abril de 2024 |
| ISO 27017 Declaração de Aplicabilidade Certificado |
A.16.1: Gestão de incidentes e melhorias de segurança de informações | 8 de abril de 2024 |
| ISO 27018 Declaração de Aplicabilidade Certificado |
A.9.1: Notificação de uma falha de segurança de dados que envolve o PII | 8 de abril de 2024 |
| SOC 1 | IM-1: Arquitetura de gestão de incidentes IM-2: Mecanismos de deteção e alertas MI-3: Execução da resposta a incidentes MI-4: Autópsias de incidentes MI-6: Teste de resposta a incidentes OA-7: Acesso de engenheiro de serviço |
20 de maio de 2024 |
| SOC 2 SOC 3 |
CCM-9: Procedimentos forenses CUEC: Reportar incidentes IM-1: Arquitetura de gestão de incidentes IM-2: Mecanismos de deteção e alertas MI-3: Execução da resposta a incidentes MI-4: Autópsias de incidentes MI-6: Teste de resposta a incidentes OA-7: Acesso de engenheiro de serviço SOC2-6: Site de Suporte ao Cliente SOC2-9: Dashboards de serviço |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | IR-4: Processamento de incidentes IR-6: Relatório de incidentes IR-8: Plano de resposta a incidentes |
31 de julho de 2023 |
| ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.16.1: Gestão de incidentes e melhorias de segurança de informações | Março de 2024 |
| ISO 27018 Declaração de Aplicabilidade Certificado |
A.10.1: Notificação de uma falha de segurança de dados que envolve o PII | Março de 2024 |
| SOC 1 | CA-26: Relatório de incidentes de segurança CA-47: Resposta a incidentes |
23 de janeiro de 2024 |
| SOC 2 | CA-12: Contratos de nível de serviço (SLAs) CA-13: Guias de resposta a incidentes CA-15: Notificações do estado de funcionamento do serviço CA-26: Relatório de incidentes de segurança CA-29: Engenheiros de serviço CA-47: Resposta a incidentes |
23 de janeiro de 2024 |
| SOC 3 | CUEC-08: Reportar incidentes | 23 de janeiro de 2024 |
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de