Voltar para Recursos
Guia completo

Ebook: Como Montar um Plano de Resposta a Incidentes em 7 Passos (Guia Completo para PMEs)

Quando um ataque acontece, não é hora de pensar. É hora de executar. Empresas que sobrevivem bem a incidentes cibernéticos têm uma coisa em comum: um plano testado antes que o incidente ocorresse.

Este guia mostra como criar um Plano de Resposta a Incidentes (IRP — Incident Response Plan) adaptado à realidade de PMEs brasileiras — sem exigir equipe de 50 pessoas nem budget de grande corporação.

Passo 1 — Defina Seus Ativos Críticos

Antes de saber como responder, você precisa saber o que proteger. Liste sistemas que paralisam a operação, dados que causam dano legal ou reputacional e sistemas com acesso a dados de terceiros.

Sistemas que, se parados, paralisam a operação (ERP, cobrança, e-mail)
Dados que, se vazados, causam dano legal ou reputacional
Sistemas com acesso a dados de terceiros (fornecedores, clientes B2B)

Para cada ativo crítico, documente: onde está hospedado, quem tem acesso, como fazer backup e quanto tempo a operação suporta sem ele (RTO — Recovery Time Objective).

Passo 2 — Forme Sua Equipe de Resposta (mesmo que pequena)

Em PMEs, uma equipe de resposta a incidentes pode ser apenas 3 a 5 pessoas com funções definidas.

Coordenador de incidente: gerencia o processo geral e toma decisões
Técnico de TI: executa as ações técnicas (isolamento, restauração)
Responsável de comunicação: fala com clientes, imprensa, ANPD se necessário
Jurídico/LGPD: avalia implicações legais e obrigações de notificação
Empresa de cibersegurança parceira: suporte técnico especializado

Documente nome, função, telefone pessoal e e-mail alternativo de cada um. Lembre que numa crise, o e-mail corporativo pode estar comprometido.

Passo 3 — Crie Playbooks por Tipo de Incidente

Um playbook é um checklist de ações específicas para cada tipo de incidente. Crie pelo menos três.

Playbook 1: Ransomware

  1. Alerta identificado → confirmar se é criptografia real ou falso positivo
  2. Isolar imediatamente máquinas afetadas da rede (desconectar cabo/WiFi)
  3. Não desligar — preservar memória RAM para análise forense
  4. Acionar equipe de resposta + empresa de cibersegurança
  5. Identificar origem e extensão do ataque
  6. Avaliar viabilidade de restauração via backup
  7. Comunicar partes afetadas conforme obrigações legais
  8. Iniciar restauração a partir de backup limpo validado

Playbook 2: Vazamento de Dados Pessoais (LGPD)

  1. Confirmar o vazamento e identificar quais dados foram expostos
  2. Acionar DPO imediatamente
  3. Avaliar risco para os titulares (alto risco = notificação obrigatória à ANPD em 72h)
  4. Documentar tudo: o que aconteceu, quando foi detectado, que dados, quantos titulares
  5. Notificar ANPD (portal gov.br/anpd) se obrigatório
  6. Notificar titulares afetados se exigido
  7. Adotar medidas para estancar o vazamento
  8. Reportar internamente à diretoria

Playbook 3: E-mail Corporativo Comprometido (BEC)

  1. Funcionário reporta acesso suspeito ou solicitação incomum
  2. Resetar senha imediatamente + revogar sessões ativas
  3. Verificar regras de encaminhamento (atacantes criam regras para copiar e-mails)
  4. Analisar histórico de acesso: de onde, quando, quais e-mails lidos
  5. Verificar se alguma comunicação fraudulenta foi enviada para clientes/fornecedores
  6. Comunicar contatos relevantes sobre possível comprometimento
  7. Investigar vetor de entrada (phishing? senha vazada? sem MFA?)

Passo 4 — Defina Seus Níveis de Severidade

Crítico (Nível 1)

Operação parada ou em risco imediato. Dados sendo exfiltrados. Ransomware ativo. Ação imediata, acionamento de toda a equipe.

Alto (Nível 2)

Sistema importante comprometido mas operação continua. Suspeita de acesso não autorizado. Ação em horas.

Médio (Nível 3)

Incidente contido, risco limitado. Tentativa de ataque bloqueada. Ação no dia.

Baixo (Nível 4)

Alerta de ferramenta sem comprometimento confirmado. Análise na próxima janela de trabalho.

Passo 5 — Prepare seus Templates de Comunicação

Na crise, não é hora de escrever. Prepare com antecedência.

Template para comunicar clientes

"Prezado [nome], identificamos um incidente de segurança em nossos sistemas em [data]. [Informações específicas sobre o que foi afetado, se aplicável]. As medidas [X, Y, Z] foram adotadas imediatamente. Entramos em contato para [informar / pedir que você faça X]. Para dúvidas, entre em contato pelo [canal]."

Template para ANPD

Acesse anpd.gov.br e familiarize-se com o formulário antes de precisar usá-lo.

Regras de comunicação durante um incidente:

  • Nenhuma declaração pública sem aprovação do coordenador
  • Nenhuma confirmação ou negação com imprensa sem jurídico
  • Comunicação interna apenas por canais alternativos

Passo 6 — Estabeleça Procedimentos de Preservação de Evidências

Se o incidente envolver dados pessoais, ação judicial ou investigação policial, as evidências precisam ser preservadas corretamente. Erros comuns que destroem evidências:

Reiniciar ou formatar sistemas comprometidos antes da análise forense
Sobrescrever logs ao implementar remediação
Não documentar a cadeia de custódia (quem teve acesso às evidências e quando)

Regra básica: antes de qualquer ação técnica num sistema comprometido, tire um snapshot ou imagem forense. Se não souber como fazer isso, acione um especialista antes.

Passo 7 — Teste o Plano com Simulações (Tabletop Exercises)

Um plano nunca testado é um plano que vai falhar quando você precisar. Simulações de tabletop são exercícios de mesa onde a equipe discute como responderia a um cenário de incidente — sem precisar de computadores ou ambientes de teste.

Escolha um cenário (ex: 'Recebemos alerta de ransomware no servidor de arquivos às 14h de uma sexta-feira')
Reúna a equipe de resposta
Faça perguntas progressivas: 'O que você faz primeiro? Quem você aciona? Quanto tempo tem para notificar a ANPD?'
Identifique lacunas no plano e corrija

Faça pelo menos uma simulação por semestre. Atualize o plano após cada incidente real ou simulado.

Recursos Adicionais

Para baixar os templates de playbook e checklist de IRP em PDF, deixe seu e-mail abaixo e receba gratuitamente.

Falar com especialista sobre IRPSolicitar diagnóstico gratuito