Um incidente de segurança é um evento que pode indicar que os sistemas ou dados de uma organização foram comprometidos ou que as medidas implementadas para protegê-los falharam.
Na TI, um evento é qualquer coisa que tenha significado para o hardware ou software do sistema e um incidente é um evento que perturba as operações normais. Os eventos de segurança são normalmente distinguidos dos incidentes de segurança pelo grau de gravidade e o risco potencial associado à organização.
Se a um único usuário for negado o acesso a um serviço solicitado, por exemplo, that pode ser considerado um evento de segurança porque há alguma possibilidade de indicar um sistema comprometido, mas a falha de acesso também pode ser causada por muitas outras coisas e esse único evento não normalmente tem um impacto severo sobre a organização. Entretanto, se um grande número de usuários for negado o acesso, é provável que haja um mais sério problema, como um ataque de negação de serviço (DoS), para que o evento possa ser classificado como um incidente de segurança.
De acordo com Publicação Especial NIST 800-61, um incidente de segurança é a violação de uma política de segurança explícita ou implícita.
Exemplos de incidentes de segurança:
- Attempts from unauthorized sources to access systems or data.
- Interrupção não planejada de um serviço ou negação de um serviço.
- Processamento ou armazenamento não autorizado de dados.
- Alterações não autorizadas no hardware, firmware ou software do sistema.
Processos e produtos projetados para ajudar no gerenciamento de incidentes de segurança incluem planejamento de resposta a incidentes (IRP), treinamento de conscientização de segurança e informações de segurança e gerenciamento de eventos (SIEM).