Como este tema funciona no porte da sua empresa
Incidente cai sobre você e uma ou duas pessoas. Você descobre que houve ataque, seu primeiro impulso é pânico — e agir rápido. Você mesmo toma decisões de contenção (desligar máquina, trocar senhas) e depois contrata perito externo para investigar. Comunicação é pessoal: você avisa clientes diretamente.
Incidente afeta operação de múltiplas pessoas. Você tem TI interno (ou terceirizado em contrato) que faz investigação inicial e contenção. Você coordena as decisões críticas: comunicação ao time, clientes, autoridades. Precisão é importante porque múltiplos stakeholders dependem do que você fizer.
Incidente pode parar a empresa inteira. Você já deveria ter playbook pré-escrito e perito em contato. Resposta é formal, coordenada, com comunicação a clientes, imprensa, investidores. ANPD é notificado rapidamente. Risco legal e reputacional é muito maior.
Incidente de segurança é quando você descobre que dados ou sistemas foram acessados, modificados ou roubados por terceiros não autorizados. As primeiras 72 horas são críticas: o que você faz nelas determina se consegue conter o dano ou se ele escala. Protocolo, documentação e comunicação rápida são sua proteção.
O que acontece nos primeiros minutos — contenção de emergência
Você ou um funcionário descobre que houve ataque. Pode vir de várias formas: (1) email dizendo "seu sistema foi hackeado, pague ou divulgo dados"; (2) você não consegue acessar sistema crítico (ransomware); (3) cliente avisa que está recebendo email falso que parece vir de você; (4) TI detecta login anormal em horário estranho.
Seu cérebro quer entrar em pânico. Não faça isso. Próximas 2 horas, você concentra em uma coisa: parar o sangramento.
Passo 1 — Isolamento (primeiros 15 minutos): Se sabe qual máquina ou usuário foi comprometido, desconecte-o da rede. Se é ransomware que está se espalhando, desligar máquina afetada rapidamente pode interromper propagação. Se é roubo de credencial, mude a senha daquele usuário agora, em máquina limpa (que você sabe que não foi comprometida).
Passo 2 — Não delete nada (primeiros 30 minutos): Impulso natural: apagar logs, apagar email, limpar prova. Não faça. Logs são sua única prova do que aconteceu. Deletar logs é destruição de prova e pode ser crime. Se sua empresa for auditada depois ou for para processo legal, acusação pode ser ainda maior.
Passo 3 — Documentação de senso comum (primeira hora): Escreva em documento ou email (envie para si mesmo): que hora descobriu, o que descobriu exatamente, quem estava envolvido, quais máquinas foram afetadas. Exemplo: "13h30 descobri que 500 CPF de cliente foram baixados de servidor. Servidor estava com acesso público (erro nosso). Desliguei acesso. Não sei quem acessou ou quanto tempo esteve acessando."
Passo 4 — Convocar TI (primeira hora): Se você tem TI interno, chame reunião de emergência. Se é terceirizado, liga agora, não espera segunda-feira. "Temos incidente de segurança, preciso ajuda nas próximas 12 horas." Se não tem TI nenhum, comece a ligar para perito digital agora (dica: procure referência de amigo ou OAB; perito digital = investigação forense, não é desenvolvedor).
Comunicação interna nesta hora: Você avisa gerente operacional, financeiro e qualquer um que precisa saber. Não avisa toda empresa — boato vira pânico. Avisa "time crítico" e pede silêncio até você ter informação clara.
Você pode fazer isolamento e documentação sozinho. Comece a ligar para perito digital imediatamente — ele vai guiar próximos passos via telefone/video. Não tente ser herói investigando sozinho.
TI faz isolamento técnico; você faz documentação de contexto. Convoque gerente operacional para entender impacto (qual sistema está fora?). Simultaneamente, comece contato com perito digital.
Seu playbook já prevê quem faz o quê. TI ativa protocolo, você ativa comunicação. Perito é acionado por contato pré-estabelecido (não perda tempo procurando). Advogado especialista em LGPD é notificado para orientar comunicação ANPD.
Horas 2 a 12: investigação e escopo do incidente
Agora você precisa responder a pergunta crítica: quanto do sistema foi afetado e quais dados vazaram? Isso determina tudo depois: se precisa comunicar clientes, se precisa comunicar ANPD, se é crime intencional ou negligência sua.
Investigação inicial: TI ou perito investigam: quantos registros foram expostos? Qual é o período (3 dias? 6 meses?)? Qual tipo de dado vazou (CPF? RG? email apenas? dados sensíveis como diagnóstico médico?)? Como o atacante entrou (falha de segurança nossa, senha fraca, email comprometido)?
Deixe claro com TI ou perito: você quer resposta pronta em 6-8 horas, não análise perfeita em 2 semanas. Tempo é urgência aqui. Análise mais profunda vem depois.
Situação específica: Ransomware — você vê mensagem "seus arquivos foram criptografados, pague X bitcoins para recuperar". Não pague. Não chame polícia. Chame perito digital imediatamente. Por quê? (1) Pagamento não garante que recupera arquivo (estatísticas: 30-50% dos que pagam não recebem chave). (2) Você nunca sabe se é golpe (pode ser que eles não tenham backup real). (3) Você financia crime. Se tiver contrato de seguro cibernética, chame seguradora também agora — eles podem ter contato com especialista em resgate/recuperação.
Situação específica: Phishing bem-sucedido — atacante conseguiu senha ou acesso via email falso. Pergunta: qual é exatamente a credencial roubada? Senha de email? Senha de admin? Acesso a sistema financeiro? Quanto tempo ficou exposto? O que o atacante conseguiu fazer (só olhar ou fez mudanças?)? Respostas determinam se é roubo de dados, roubo de dinheiro, ou sabotagem.
Backup emergencial: Se tem backup desconectado (HD externo guardado em outro lugar, não conectado à rede), este é o momento de ativar. Você não quer que atacante deleta dados ao perceber que foi descoberto. Backup desconectado é sua recuperação de última resort.
Comunicação stakeholder interno: Nesta altura (hora 4-6), você já tem visão clara. Reúne equipe de liderança: "Incidente foi X. Dados afetados foram Y. Impacto operacional é Z (sistema fora por quanto tempo?). Próximas ações: comunicar ANPD em X horas, comunicar cliente em Y horas, resultado completo da investigação em Z dias."
Expectativa prática: em 8-10 horas de trabalho intenso, você tem resposta clara "incidente afetou 5 mil CPF entre janeiro e fevereiro; atacante entrou via email falso; conseguiu acessar banco de cliente mas não conseguiu fazer transferência porque transação maior que R$ 10k foi bloqueada."
Horas 12 a 72: comunicação à ANPD e aos clientes
Agora você sabe o que aconteceu. Próximo: reportar. Lei é clara (LGPD art. 48)[1]: você tem até 2 dias úteis após descobrir para comunicar à ANPD.
Comunicação à ANPD: Acesse gov.br/anpd (site oficial). Encontra aba "relatar incidente" ou "notificação de incidente de segurança". Você vai preencher formulário online com:
- Descrição do incidente (o que foi comprometido, quando, como descobriu)
- Dados atingidos (aproximadamente quantos registros, qual tipo: CPF, email, telefone, dados sensíveis)
- Medidas de contenção já tomadas (o que você fez para parar)
- Investigação em andamento (quem está investigando, quando termina)
- Contato seu para acompanhamento
Não precisa esperar investigação completa. Você notifica com o que sabe: "descobrimos que dados foram acessados; investigação em andamento; atualizaremos em 5 dias." ANPD entende que incidente é situação dinâmica.
Comunicação ao cliente: Se dados pessoais de cliente vazaram (CPF, email, telefone, endereço), por lei (LGPD art. 48)[1] você precisa comunicar. Quando? Assim que puder — não deixa descobrir por terceiros.
Mensagem modelo para cliente: "Queremos comunicar que descobrimos que seus dados [especificar: CPF, email, telefone] foram acessados por terceiros sem autorização em [data]. Não houve transferência de dinheiro / roubo de dados; descobrimos e paramos. Recomendamos [que mude senha em sua conta, que monitore conta para fraude, que fique atento a ligações suspeitas]. Estamos investigando como isso aconteceu e tomaremos medidas para não repetir. Você pode me contatar em [seu email/telefone] com perguntas."
Tom é crítico: transparência > minimizar. Cliente descobre de qualquer forma (via brecha em news, via email de terceiros). Se você contar primeiro e com verdade, confiança fica melhor. Se você tentar esconder e cliente descobre depois, confiança some para sempre.
Multa LGPD: Você pode levar multa por não cuidar bem (negligência) ou por não reportar (ato comissivo). Multa pode chegar a 2% de receita bruta (até R$ 50 milhões). Mas há atenuantes: se você tinha controle mínimo (backup, senha forte, MFA) e mesmo assim sofreu ataque sofisticado, multa é reduzida. Se você tinha zero controle (senha padrão, backup nenhum), multa é máxima. Reportar rápido ajuda também.[2]
Documentação importante para manter: Backup ou cópia de: logs de acesso do sistema, timeline exata do incidente (hora/minuto que foi descoberto, hora/minuto que foi contido), todas as comunicações internas (emails, chats), investigação técnica completa (do perito), comunicações externas (ANPD, cliente). Isso vira arquivo do seu incidente. Pode ser necessário em processo legal depois.
Contatos úteis de emergência:
- ANPD: gov.br/anpd — relato online. Telefone: 0800 (se houver número disponível no site)
- CERT.br: cert.br — coordenação de incidentes brasileira. Eles podem avaliar severidade[3]
- Polícia Federal: Se houver crime intencional (não é acidente, é ataque dirigido), delegacia eletrônica ou delegacia física. Registre BO (boletim de ocorrência)
- Perito digital: Procure em referência (amigos, OAB, sindicato). Perito faz investigação forense e pode ser prova em processo legal
- Seguro cibernética: Se tem contrato, chame seguradora agora. Podem arcar com custo de investigação/recuperação
Erros que você NÃO deve cometer
Erro 1: Não reportar à ANPD por medo de multa. Falso. Não reportar é multa ainda maior e crime (obstrução). Reportar rápido e demonstrar ação rápida reduz multa. ANPD não tá lá para destruir empresa pequena — tá lá para proteger dados de pessoas.
Erro 2: Deletar logs ou evidência. Destruição de prova. Se processo legal vier depois, isso piora tudo — acusação passa a ser "você tentou esconder".
Erro 3: Não comunicar ao cliente. Cliente descobre de qualquer forma. Quando descobre que você sabia e não falou, confiança desaparece completamente. Melhor ser transparente logo.
Erro 4: Pagar resgate de ransomware sem assessoria. 50% dos que pagam não recupera arquivo. Você financia crime. Chame especialista primeiro.
Erro 5: Tentar investigar sozinho e demorar. Você é dono, não perito digital. Chama especialista rápido. Demora em investigação significa demora em comunicação, que significa risco de escalação.
Erro 6: Comunicar ao cliente de forma alarista. Aviso muito catastrófico causa pânico desnecessário e cliente processa você mesmo que não haja dano real. Seja claro mas calmo: "X aconteceu. Y é o impacto. Z é o que estamos fazendo."
Template simples de comunicação à ANPD
Se ficar travado no que enviar, aqui vai modelo:
"Relato de Incidente de Segurança — [sua empresa]
Descrição: Em [data], descobrimos que [descrição: ex. servidor de cliente com acesso público, permitindo download de dados]. Aproximadamente [número] registros contendo [tipo: CPF, email, telefone] foram potencialmente expostos entre [data início] e [data fim].
Impacto: [número] pessoas podem ter sido afetadas.
Medidas já tomadas: [ex. servidor foi desligado, acesso foi restringido, dados foram backup offline].
Investigação em andamento: Perito digital [nome/empresa] está investigando escopo completo. Relatório será enviado em [data estimada, máx 5 dias].
Próximas ações: Comunicação aos clientes afetados será feita em [data]. Medidas preventivas [ex. auditoria de segurança, implementação de MFA, revisão de backup] serão implementadas em [timeline].
Contato: [seu nome, email, telefone]."
Fácil, direto, honesto.
A realidade depois: 30 dias pós-incidente
Incidente não termina quando você reporta à ANPD. Próximos 30 dias:
Semana 1-2: Investigação completa (perito entrega relatório), comunicação aos clientes, potencial notícia em mídia (dependendo de tamanho).
Semana 2-3: Reunião com advogado especialista em LGPD para revisar se comunicação foi adequada, risco legal, próximas ações.
Semana 3-4: Implementação de medidas preventivas (auditoria de segurança, upgrade de backup, implementação de MFA em todos os sistemas críticos).
Semana 4+: Acompanhamento com ANPD (podem fazer perguntas adicionais), eventual ação de cliente (se houve dano real), eventual investigação de seguro cibernética (se tem contrato).
Custo de tudo isso (perito, advogado, auditoria, upgrade de segurança): R$ 3k a R$ 30k, dependendo de porte e severidade. Melhor pagar agora do que lidar com multa LGPD depois (que pode ser R$ 100k+).
Sinais de que sua empresa precisa ter plano de resposta a incidente agora
Se você se reconhece em dois ou mais destes cenários, é hora de preparar:
- Você nunca testou o que acontecia se servidor caísse ou banco de dados fosse comprometido
- Não tem contato de perito digital ou especialista em segurança guardado
- Não tem backup offline (tudo está em nuvem ou servidor local conectado)
- Seus funcionários usam mesma senha em múltiplos sistemas
- Você não tem contato de advogado especializado em LGPD
- Nunca informou seu time como reconhecer email de phishing
Caminhos para preparar resposta a incidente
Preparação pode ser feita internamente com ajuda externa mínima, ou com consultoria especializada. Aqui estão as duas rotas:
Você documenta seu próprio playbook: lista de contatos (perito, advogado, seguradora), passos de contenção, comunicação template, cronograma. Tira 4-6 horas, custa tempo só seu.
- Perfil necessário: Você (dono) + TI (se tiver), dedica 1-2 tardes
- Tempo estimado: 6-8 horas para estruturar playbook; 1 hora/mês para manter atualizado
- Faz sentido quando: Empresa é pequena, operação não é crítica, você tem acesso a alguns contatos já
- Risco principal: Playbook fica na gaveta e ninguém tira na emergência; contatos desatualizam (perito muda de empresa)
Consultor de segurança monta playbook completo, conecta você com perito/advogado, treina time (30 min) em resposta a incidente, faz simulação de crise (tabletop exercise) para testar protocolo.
- Tipo de fornecedor: Consultor de segurança, consultoria LGPD, advocacia especializada em dados
- Vantagem: Playbook pronto e testado, contatos confiáveis já incorporados, team fica treinado, você tem assessoria na hora real se incidente acontecer
- Faz sentido quando: Empresa tem dados sensíveis (cliente, saúde, financeiro), operação é crítica, você quer estar 100% pronto
- Resultado típico: Playbook em 2-3 semanas, time treinado, simulação feita, contatos validados, resposta a incidente real fica 80% mais rápida
Sua PME tem um plano de resposta a incidente pronto?
Estar preparado para incidente de segurança não é paranoia — é gerenciamento de risco básico. Na oHub, você conecta com consultores de segurança, peritos digitais e especialistas em LGPD que já ajudaram centenas de PMEs a montar protocolo eficiente e responder rápido quando algo acontece. Sem custo inicial, sem compromisso.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é o prazo para reportar à ANPD após um incidente?
Até 2 dias úteis após descobrir. Não é "após o ataque", é "após saber". Você pode notificar com o que sabe: "foi descoberto, investigação em andamento, atualizaremos em 5 dias." ANPD entende que incidente é dinâmico.
Preciso comunicar aos clientes que seus dados foram vazados?
Se dados pessoais (CPF, email, telefone, endereço) vazaram, sim — por lei. Comunicação deve ser clara e transparente, sem minimizar. Melhor avisar você do que cliente descobrir por terceiros.
Como documentar um incidente de segurança?
Anote: hora/minuto de descoberta, o que foi descoberto exatamente, quem foi afetado, que ações você tomou para conter. Guarde: logs do sistema, investigação técnica, comunicações internas, comunicações externas. Isso vira arquivo do incidente para possível processo legal.
Qual é a multa da LGPD por vazamento de dados?
Até 2% de receita bruta (máximo R$ 50 milhões), dependendo de negligência. Se você tinha controle mínimo (backup, senha forte) e mesmo assim sofreu ataque, multa é reduzida. Se tinha zero controle, multa é máxima. Reportar rápido ajuda a reduzir.
Devo pagar ransomware para recuperar arquivos?
Não recomendado. 50% dos que pagam não recuperam arquivo. Você financia crime. Chame perito digital e seguradora primeiro — eles podem ter opções melhores que pagar.
Posso deletar logs ou evidência para "limpar" a empresa?
Não. Deletar logs é destruição de prova. Se processo legal vier, acusação fica ainda pior ("tentou esconder"). Guarde tudo. Logs são sua única evidência do que o atacante fez.
Fontes e referências
- Planalto. Lei 13.709/2018 — Lei Geral de Proteção de Dados (LGPD), artigo 48. 2018.
- ANPD — Autoridade Nacional de Proteção de Dados. Guias e Orientações sobre Incidentes e Multas. Portal oficial brasileiro.
- CERT.br — Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. Estatísticas e Coordenação de Incidentes. 2024.
- NIST — National Institute of Standards and Technology. Computer Security Incident Handling Guide (SP 800-61 Rev. 2). 2012.