Un incidente di sicurezza è un evento che può indicare che i sistemi o i dati di un'organizzazione sono stati compromessi o che le misure messe in atto per proteggerli hanno fallito.
In IT, un evento è tutto ciò che ha un significato per l'hardware o il software del sistema e un incidente è un evento che interrompe le normali operazioni. Gli eventi di sicurezza sono generalmente distinti dagli incidenti di sicurezza in base al grado di gravità e al rischio potenziale associato per l'organizzazione.
Se ad un singolo utente viene negato l'accesso a un servizio richiesto, ad esempio, questo può essere considerato un evento di sicurezza perché c'è qualche possibilità che indichi un sistema compromesso ma il fallimento dell'accesso potrebbe essere causato anche da molte altre cose e quel singolo l'evento in genere non ha un impatto grave sull'organizzazione. Tuttavia, se a un numero elevato di utenti viene negato l'accesso, è probabile che significhi che c'è un problema più serio, come un attacco DoS (Denial of Service), in modo che l'evento possa essere classificato come un incidente di sicurezza.
Secondo la pubblicazione speciale NIST 800-61, un incidente di sicurezza è la violazione di una politica di sicurezza esplicita o implicita.
Esempi di incidenti di sicurezza:
- Tentativi da fonti non autorizzate di accedere a sistemi o dati.
- Interruzione non pianificata di un servizio o negazione di un servizio.
- Elaborazione o archiviazione non autorizzata dei dati.
- Modifiche non autorizzate all'hardware, al firmware o al software del sistema.
I processi e i prodotti progettati per aiutare con la gestione degli incidenti di sicurezza includono la pianificazione della risposta agli incidenti (IRP), la formazione sulla consapevolezza della sicurezza e le informazioni sulla sicurezza e la gestione degli eventi (SIEM).