A maioria das organizações descobre as lacunas da sua capacidade de resposta a incidentes no pior momento possível — durante o incidente. Ransomware bloqueado, sistemas críticos fora do ar, dados de clientes expostos, reguladores esperando notificação. Estruturar essa capacidade antes do incidente é a diferença entre uma resposta coordenada e o caos. Ajudamos organizações a construir essa estrutura — missão definida, playbooks prontos, equipe treinada e conformidade regulatória garantida.
Fundamentado em
O Board, o CEO e os reguladores já entendem isso. O que frequentemente ainda falta é a estrutura operacional que transforma essa consciência em capacidade real de resposta.
A Resolução CMN 4.893 exige Plano de Ação e Resposta a Incidentes (PARI) aprovado pelo Conselho de Administração. A CMN 5.274/2025 vai além — exige capacidade operacional comprovável, integração SOC/CSIRT e gestão de credenciais. Não é documentação: é demonstração de capacidade real.
A Resolução ANPD 15/2024 regulamentou o art. 48 da LGPD: incidentes com risco ou dano relevante aos titulares devem ser notificados à ANPD e aos próprios titulares em até 3 dias úteis após a confirmação. Cumprir esse prazo exige detecção rápida, avaliação técnica estruturada e processo de notificação pronto — não improvisado.
O controle A.5.24 da ISO 27001:2022 exige planejamento e preparação para gestão de incidentes de segurança da informação. Organizações em processo de certificação ou já certificadas precisam demonstrar que têm política, equipe, processos e registros de incidentes — não apenas um documento genérico.
Deepfakes para burlar autenticação, phishing hiperpersonalizado com LLMs, Account Takeover automatizado em escala — são vetores de ataque que não existiam há três anos e que os playbooks tradicionais não cobrem. A capacidade de resposta precisa ser contemporânea com as ameaças.
Em saúde, energia e indústria, a indisponibilidade de sistemas não é interrupção operacional — é risco direto à segurança de pessoas. A resposta a incidentes nesses setores exige RTOs definidos por criticidade operacional e planos de contingência que vão além da recuperação de TI convencional.
IBM Cost of a Data Breach Report 2024: organizações com equipe de resposta a incidentes e plano testado regularmente economizaram em média USD 1,49 milhão por incidente em comparação com organizações sem essa estrutura. A estruturação da capacidade de resposta é investimento com ROI documentado.
Nossa atuação é consultiva e de estruturação. Definimos a missão, projetamos o modelo organizacional, desenvolvemos os playbooks, estabelecemos a governança e orientamos a equipe. A operação contínua do CSIRT — monitoramento 24x7, resposta em tempo real — fica com a equipe interna ou com um MSSP que ajudamos a selecionar via RFP.
A estruturação segue a metodologia do CMU/CERT Handbook for CSIRTs — base dos cursos 'Managing Computer Security Incident Response Teams' e 'Creating a Computer Incident Response Team' do CERT.br, completados pelo nosso sócio responsável por este serviço.
Avaliação da capacidade atual de resposta a incidentes frente à ISO 27035, ao NIST SP 800-61 e às exigências do BACEN e da ANPD. Inventário dos incidentes dos últimos 24 meses, análise das respostas conduzidas e avaliação das lacunas em pessoas, processos e tecnologia. O diagnóstico produz um mapa claro do ponto de partida e das prioridades de estruturação.
ISO 27035 · NIST 800-61 · Gap analysis · Linha de baseElaboração da declaração formal de missão do CSIRT — a quem serve, quais tipos de incidentes cobre e quais serviços presta. Definição do modelo organizacional mais adequado: centralizado, distribuído, coordenado ou virtual. Estabelecimento da autoridade formal e dos limites de decisão — sem mandato claro aprovado pela Alta Direção, a equipe está de mãos atadas no momento crítico.
CMU/CERT Handbook · Missão · Autoridade · MandatoElaboração do PARI no formato exigido pela CMN 4.893/5.274 do BACEN — política de segurança cibernética integrada, procedimentos de resposta, critérios de classificação de incidentes e fluxos de comunicação. O PARI é submetido ao Conselho de Administração para aprovação formal, cumprindo o requisito do art. 9º da CMN 4.893. Para organizações não reguladas pelo BACEN, elaboramos um plano equivalente alinhado à ISO 27035-2.
CMN 4.893 · Art. 9º · Aprovação pelo Conselho · ISO 27035-2Desenvolvimento de playbooks detalhados para os cenários de maior probabilidade e impacto — ransomware, vazamento de dados pessoais, comprometimento de credenciais privilegiadas, ataque a APIs, fraude com deepfake, indisponibilidade de sistemas críticos. Cada playbook define: gatilho de ativação, papéis e responsabilidades, sequência de ações, critérios de escalada, comunicações regulatórias e critérios de encerramento.
Ransomware · Vazamento · ATO · Deepfake · APIs críticasDefinição de quem aciona quem — e quando. Mapeamento completo dos relacionamentos internos (jurídico, comunicação corporativa, RH, executivos) e externos (CERT.br, ANPD, BACEN, polícia especializada, seguradoras, fornecedores críticos, parceiros de resposta forense). Canal de comunicação seguro e independente dos sistemas potencialmente comprometidos. Contatos estabelecidos antes do incidente, não durante.
Escalada · Notificação ANPD 72h · BACEN · CERT.brTreinamento técnico para a equipe de resposta e sensibilização para a Alta Direção. Exercícios tabletop com cenários realistas — envolvendo equipes técnicas, jurídico e executivos — para validar os playbooks e identificar lacunas antes do incidente real. Avaliação da maturidade do CSIRT com o modelo SIM3, aceito pelo FIRST e pelo TF-CSIRT, e plano de evolução para os níveis subsequentes.
Tabletop · SIM3 · FIRST · Capacitação técnicaA estruturação da resposta a incidentes é o serviço certo para organizações que entendem que ter um plano no papel não é o mesmo que ter capacidade de resposta — e que querem construir a segunda antes de precisar da primeira.
Bancos, fintechs e instituições de pagamento com obrigação de PARI aprovado pelo Conselho e capacidade operacional comprovável frente ao BACEN. A CMN 5.274/2025 elevou significativamente o nível de exigência — documentação não é suficiente.
Hospitais e grupos de saúde com sistemas cuja indisponibilidade tem impacto direto na segurança do paciente. RTOs definidos por criticidade clínica, playbooks de ransomware com continuidade assistencial e processo de notificação de incidentes de privacidade com dados de saúde.
Concessionárias e operadores de infraestrutura crítica com ambientes de TI e OT integrados, onde um incidente cibernético tem impacto sistêmico e envolve reguladores setoriais além do BACEN e da ANPD.
Desenvolvedoras de software e plataformas que processam dados de clientes corporativos e precisam demonstrar capacidade de resposta a incidentes como condição de contratos, certificações ISO 27001 e auditorias de fornecedor.
O controle A.5.24 da ISO 27001:2022 exige planejamento e preparação para gestão de incidentes. Organizações que chegam à auditoria de certificação com capacidade de resposta estruturada — não apenas documentação — passam com substância, não com papel.
Após ransomware, vazamento grave ou indisponibilidade prolongada, a organização tem o contexto mais favorável para estruturar a capacidade de resposta — evidências concretas do que falhou, liderança engajada e orçamento disponível. É o momento mais eficiente para agir.
Estruturar uma capacidade de resposta a incidentes exige mais do que conhecimento de frameworks — exige formação específica na criação e gestão de CSIRTs. Este serviço é conduzido por Carlos Bernardo, com formação direta do CERT.br e da Carnegie Mellon University.
Carlos A. I. Bernardo completou os cursos 'Managing Computer Security Incident Response Teams' e 'Creating a Computer Incident Response Team' pelo CERT.br — instituição credenciada pela Carnegie Mellon University para ministrar oficialmente os cursos do CERT Division no Brasil. É a formação de referência mundial para criação e gestão de CSIRTs.
Certified Information Systems Security Professional (CISSP) é a certificação de maior prestígio em segurança da informação, reconhecida globalmente pelo ISC2. Inclui domínio específico de Operações de Segurança — com ampla cobertura de resposta a incidentes, investigação e recuperação.
A estruturação utiliza simultaneamente o CMU/CERT Handbook for CSIRTs (para o modelo organizacional e taxonomia de serviços), a ISO/IEC 27035-1 e -2:2023 (para o ciclo de vida e os requisitos de gestão de incidentes) e o NIST SP 800-61 Rev. 2 e 3 (para o ciclo de vida atualizado integrado ao CSF 2.0).
A aplicação prática em setores como financeiro, saúde, energia e indústria garante que os playbooks e a estrutura de governança reflitam as especificidades regulatórias e operacionais de cada setor — não um modelo genérico adaptado superficialmente.
O PARI é elaborado no formato exigido pelo BACEN (CMN 4.893/5.274) e o processo de notificação é estruturado para atender o prazo de 72 horas da ANPD (Res. 15/2024). A conformidade não é checagem posterior — é critério de projeto desde o início.
Carlos Bernardo conduz diretamente o diagnóstico, a estruturação, o desenvolvimento dos playbooks e os exercícios tabletop. Rafael Batista (CDPSE, ISO 27701 LI) contribui na dimensão de privacidade — notificação de incidentes de dados pessoais, ROPA e articulação com a LGPD. Quem propõe é quem entrega.
Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes.
Fale diretamente com nossos sócios. A conversa inicial é sem custo e sem compromisso. Ela já nos permite fazer a proposta baseada em sua capacidade atual e nas lacunas mais críticas.