Como redigir um plano eficaz de resposta a incidentes
Publicado em: 18 Mai 2021
Última modificação em: 8 Set 2025
Saber como elaborar um plano de resposta a incidentes baseia-se nas capacidades das pessoas. Se o pessoal estiver totalmente consciente e formado para comunicar e gerir um incidente, esse evento será tratado de forma eficiente.
Passar por um incidente de segurança da informação não é algo por que ninguém queira passar, mas infelizmente lidar com um incidente de segurança é um caso de quando e não de se. As organizações que sofrem um incidente de cibersegurança não estão certamente sozinhas. De acordo com o Fórum Económico Mundial (WEF), a cibersegurança é um dos riscos mais urgentes para a economia global. No entanto, o relatório salienta o facto de que, através de esforços multilaterais, o impacto de um ciberataque pode ser atenuado.
“Os esforços de colaboração na resposta a incidentes e na partilha de informações tentam centralizar as capacidades de cibersegurança para reduzir o impacto dos ciberataques.”
Um Plano de Resposta a Incidentes é um desses esforços. Aqui está uma visão geral da razão pela qual precisas de um e o que está envolvido na criação de um Plano de Resposta a Incidentes.
Porque é que precisamos de um plano de resposta a incidentes?
O “Cyber Security Breaches Survey 2021” do governo britânico revelou que 27% das empresas do Reino Unido sofreram uma violação de dados e são atacadas pelo menos uma vez por semana, com 39% a perderem dinheiro e/ou activos. Para gerir este ataque de ciberameaças, é necessário um plano de resposta a incidentes. Este plano fornece um modelo de como responder eficazmente quando ocorre um incidente de segurança, como malware, ransomware e acesso não autorizado.
As violações de dados raramente acontecem de repente: o relatório da IBM “Cost of a Data Breach 2020” indica que, em 2019, foram necessários, em média, 207 dias para identificar uma violação de dados e, em seguida, 73 dias para a conter; ou seja, um “ciclo de vida” médio de 280 dias para reduzir o impacto nas operações de uma empresa.
Ter um Plano de Resposta a Incidentes pode ajudar a minimizar o tempo de contenção de uma violação de dados e a lidar com as consequências de forma rápida e eficiente. O tempo é essencial em termos de regras de notificação de violação, uma vez que uma variedade de regulamentos, incluindo o DPA2018 e o GDPR, prevêem a notificação no prazo de 72 horas após a ocorrência de uma violação. Um Plano de Resposta a Incidentes informará os responsáveis pelas funções de segurança e conformidade sobre como responder ao incidente e fornecerá os detalhes necessários para efetuar uma notificação de violação.
O que está incluído num plano de resposta a incidentes?
A criação de um plano de resposta a incidentes é um processo que envolve uma abordagem lógica que inclui a forma de preparar, detetar, responder e recuperar de um incidente. Ter uma visão clara e inequívoca do que fazer quando o pior cenário acontece, pode ser a diferença entre um rescaldo desastroso e um caminho tranquilo.
O manual de um plano de resposta a incidentes deve abranger
Prepara-te
Como todos os bons bricolageiros sabem, a preparação é a parte mais importante de um trabalho. O mesmo se aplica à criação de um Plano de Resposta a Incidentes. A preparação do plano começa com as pessoas.
Funções e responsabilidades: Quem é responsável por que ação quando ocorre um incidente? Identifica uma equipa de resposta a incidentes para o tratamento dos mesmos. Esta equipa deve também estar relacionada com as cláusulas relevantes da política de segurança em vigor na sua empresa. A formação do pessoal é uma parte vital da preparação e da execução do plano de resposta a incidentes.
Inventário de recursos: Cria uma lista de activos em todos os departamentos.
Avaliação de riscos: Identifica as áreas de risco juntamente com a localização e classificação dos activos. Determina os níveis de risco de cada um, dependendo da probabilidade de um ataque versus a gravidade de um incidente. Mapeia a capacidade de lidar com um ataque contra esses activos.
Tipos de incidentes: Que tipo de incidentes são prováveis e o que constitui um incidente? Se ocorrer um incidente, quem é responsável por iniciar o processo de gestão de incidentes? As organizações devem também definir os critérios de escalonamento para os diferentes tipos de incidentes.
Mapeamento de regulamentos: Documenta quais os regulamentos relevantes e quais os requisitos que devem ser cumpridos quando ocorre um incidente. Cria diretrizes para a interação com as autoridades externas’, após o incidente.
Registo de incidentes: Inclui um registo para gerir o processo de resposta a incidentes. Isto também pode ser útil para requisitos de conformidade regulamentar.
Detecta
Esta segunda fase do processo de planeamento da resposta a incidentes consiste em monitorizar, detetar e alertar quando ocorre um incidente.
Estratégia de deteção: Que ferramentas e medidas são utilizadas para detetar um incidente? Isto deve incluir ameaças conhecidas, desconhecidas e suspeitas. Por exemplo, implementa ferramentas de análise de rede, Deteção e Resposta de Pontos Finais (EDR), etc.?
Alertas: Que sistemas são utilizados para alertar para uma possível violação?
Avaliação de violações: Como é que a tua organização vai localizar vulnerabilidades de dia zero ou Ameaças Persistentes Avançadas (APT)? Uma “avaliação de comprometimento” pode ser usada para localizar violações de segurança desconhecidas e acesso não autorizado a contas.
Responde
A forma como uma organização responde a uma violação é a chave para garantir que a exposição dos dados é minimizada e os danos limitados. A resposta a incidentes abrange várias áreas, como a triagem de alertas, um aspeto importante para evitar tentativas erradas de resposta a incidentes. O principal aspeto abrangido na parte de resposta de um processo de resposta a incidentes é conter e eliminar a ameaça. O Plano de Resposta a Incidentes deve abranger as seguintes áreas
Avaliação de violações: Como quantificar a extensão da ameaça e se a ameaça é real. Isto inclui como fazer a triagem dos alertas.
Exercícios de contenção: Quando uma ameaça é identificada, como é que será contida? Isto pode incluir o isolamento de sistemas para proteção contra novas infecções/fugas de dados.
Avaliação das métricas da violação: Qual é a classificação dos dados violados? Os dados eram sensíveis? A violação teve impacto nos requisitos regulamentares?
Lida com qualquer infeção/vulnerabilidade: Qual é o processo geral para remover os ficheiros infectados e lidar com quaisquer consequências de uma infeção.
Preserva os artefactos da violação: Como produzir um registo do incidente e quaisquer provas forenses. Inclui quem, o quê, porquê e onde do evento.
Prepara-te para a notificação de violação: Se necessário, como se preparar para qualquer notificação de violação necessária. Isto deve incluir avisos públicos e pode fornecer modelos.
Estabelece contacto com o departamento jurídico e de conformidade (e, eventualmente, com as autoridades responsáveis pela aplicação da lei): Indica quem é o responsável pelo contacto com o departamento jurídico e de conformidade e como é tratado.
Recupera
A recuperação é a última parte do processo de resposta a incidentes. O Plano de Resposta a Incidentes deve mostrar como é que a empresa avança após um incidente, as lições aprendidas e que tipo de exercícios de recuperação devem ser efectuados:
Exercícios pós-incidente: Como colmatar as lacunas descobertas durante a resposta ao incidente.
Elimina o risco: Elimina o risco e restaura os sistemas para um estado anterior ao incidente.
Relata: Orientações sobre a criação de um relatório de resposta a incidentes para ajudar a evitar futuros incidentes. Mas também orientações sobre a recolha e monitorização contínuas de dados forenses para garantir a segurança contínua
Quadros e normas para a redação de um plano de resposta a incidentes
Ao redigir um Plano de Resposta a Incidentes, pode ser útil ter algumas orientações de autoridades reconhecidas.
ISO 27001 – Anexo A.16: é um anexo à norma internacional ISO 27001 que dá conselhos úteis sobre como estabelecer um protocolo para lidar com a gestão do ciclo de vida de um incidente de segurança.
Processo de resposta a incidentes do NIST: O NIST (National Institute of Standards and Technology) é uma agência governamental dos EUA. O Processo de Resposta a Incidentes do NIST detalha as quatro etapas mencionadas neste artigo.
Implementação de um plano de resposta a incidentes
O tratamento eficiente, mesmo de eventos devastadores, atenuará qualquer impacto presente e futuro de um incidente. A formação do pessoal, no entanto, é um desafio perene que é exclusivo do Plano de Resposta a Incidentes de uma organização individual. Cada abordagem de incidente será diferente; cada organização tem o seu próprio conjunto de ameaças e estruturas organizacionais internas.
Os conteúdos de formação personalizados podem ser utilizados para refletir a singularidade de cada organização e a sua abordagem à gestão de incidentes. Ao criar um Plano de Resposta a Incidentes personalizado que reflicta a estrutura única da tua organização, podes garantir a mitigação das várias ameaças com que uma empresa moderna se depara.
