Início / Recursos / Resposta a incidentes
Pilar · IR

Resposta a incidentes de segurança: as 6 fases

O processo estruturado de detectar, conter e se recuperar de um ataque — e por que cada minuto de atraso vira prejuízo.

Atualizado em julho de 2026 · por NoBug Tecnologia · 6 min de leitura

Resposta rápida

Resposta a incidentes (incident response, ou IR) é o processo estruturado de detectar, conter e se recuperar de um ataque de segurança, minimizando o dano. Em vez de improvisar no meio do caos, a equipe segue fases definidas — inspiradas nos frameworks do NIST e do SANS — para agir rápido, limitar o estrago e voltar ao normal com o mínimo de perda.

Nenhuma defesa é perfeita. Mais cedo ou mais tarde, algo passa: um e-mail de phishing clicado, uma senha vazada, um servidor exposto. O que separa um susto de uma catástrofe não é evitar 100% dos ataques — é quão rápido e organizado você reage quando um deles dá certo. É para isso que existe a resposta a incidentes.

As 6 fases da resposta a incidentes

Os frameworks de referência (o NIST SP 800-61 e o modelo do SANS) descrevem um ciclo de fases. Elas se sobrepõem um pouco na prática, mas a lógica é sempre a mesma:

#FaseO que acontece
1PreparaçãoMontar o plano, os papéis, os contatos e as ferramentas antes de qualquer ataque — para não improvisar na hora.
2Identificação / DetecçãoPerceber que algo está errado, confirmar que é um incidente real e entender seu escopo.
3ContençãoIsolar a ameaça para impedir que ela se espalhe — bloquear o invasor, cortar o acesso, isolar a máquina.
4ErradicaçãoRemover a causa raiz: apagar o malware, fechar a brecha, revogar as credenciais comprometidas.
5RecuperaçãoRestaurar sistemas e dados, colocar tudo de volta em produção e monitorar para garantir que a ameaça sumiu.
6Lições aprendidasRevisar o que aconteceu, documentar e ajustar defesas e processos para o próximo incidente ser menor.

Repare que o ciclo é fechado: as lições aprendidas alimentam a preparação da próxima vez. Um bom programa de segurança melhora a cada incidente, em vez de repetir os mesmos erros.

MTTD e MTTR: por que o tempo define o prejuízo

Duas métricas resumem a qualidade de uma resposta. O MTTD (Mean Time To Detect — tempo médio de detecção) mede quanto tempo leva para você perceber que foi atacado. O MTTR (Mean Time To Respond — tempo médio de resposta e contenção) mede quanto tempo leva para parar o ataque depois de detectado.

A soma dos dois é a janela em que o invasor age livremente. Quando essa janela é de dias, dá tempo de sequestrar dados, instalar ransomware e apagar rastros. Quando é de minutos, o ataque é contido antes de virar prejuízo. Quanto menor o MTTD e o MTTR, menor o estrago — é matemática direta.

Minutos
Meta: conter em minutos, não em dias
Antes
Quanto antes detecta, menor o dano
24/7
Cobertura elimina o turno cego

Por que o plantão 24h muda o jogo

Ataques não acontecem no horário comercial — pelo contrário. Os criminosos escolhem a madrugada, o fim de semana e os feriados justamente porque sabem que não tem ninguém olhando. Um alerta que dispara às 3h de um domingo não serve de nada se fica parado numa caixa de e-mail até segunda-feira.

Um plantão que escala de verdade — que acorda alguém, idealmente por ligação no celular em casos críticos — transforma esse alerta em ação imediata. E melhor ainda: quando a resposta é automática, a ameaça é contida antes de acordar qualquer pessoa. O Argos faz bloqueio automático no firewall em segundos e tem plantão 24h que liga para o celular quando o caso é grave. Assim a contenção começa na hora, não no próximo expediente.

Ter um plano de resposta a incidentes

A pior hora de decidir quem faz o quê é durante o incêndio. Um plano de resposta a incidentes é o documento que responde, com antecedência, às perguntas que aparecem no pior momento: quem lidera? Quem liga para o jurídico? Qual o passo a passo para isolar um servidor? Como e quando comunicamos os afetados?

Um plano bem feito define papéis, contatos e passos antes de precisar deles. Ele não precisa ser um calhamaço — precisa ser claro, acessível e treinado. Empresas que têm e ensaiam esse plano contêm incidentes muito mais rápido do que as que descobrem o processo no meio da crise. Se você ainda não sabe como esse trabalho é operado de ponta a ponta, veja o que é um SOC gerenciado e como um teste de invasão (pentest) encontra as brechas antes do criminoso.

É esse conjunto que o Argos entrega: detecção 24h com triagem apoiada pela IA Alice (opcional, baseada em Claude/Anthropic), bloqueio automático em segundos e plantão que escala por ligação — tudo operado pela NoBug, com dados no Brasil e aderência à LGPD.

Perguntas frequentes

Qual a diferença entre um alerta e um incidente?

Um alerta é apenas um sinal de que algo suspeito pode estar acontecendo — muitos são ruído ou falso positivo. Um incidente é um evento confirmado que ameaça a segurança do ambiente. A triagem existe justamente para separar os alertas irrelevantes daqueles que viram incidentes de verdade e exigem resposta.

Quanto tempo se tem para responder a um incidente?

Depende do ataque, mas a regra é simples: quanto antes, melhor. Um ransomware pode criptografar uma rede inteira em minutos. Por isso a meta de um bom serviço é conter em minutos, não em horas ou dias. O bloqueio automático ajuda a ganhar esse tempo enquanto um analista investiga.

A LGPD obriga a comunicar incidentes de segurança?

Sim. Quando um incidente pode acarretar risco ou dano relevante aos titulares, a LGPD exige comunicação à ANPD e aos titulares afetados, em prazo razoável. Ter um plano de resposta documentado facilita cumprir essa obrigação com rapidez e registro. Veja mais em LGPD e segurança.

Dá para automatizar a resposta a incidentes?

Boa parte, sim. Ações como bloquear um IP no firewall, isolar um dispositivo ou barrar um login suspeito podem ser automáticas e acontecer em segundos, sem esperar alguém acordar. A automação contém a ameaça; o analista humano investiga e decide os próximos passos.

Quer resposta a incidentes 24h com plantão que liga?

O Argos detecta, bloqueia em segundos e escala por ligação quando o caso é crítico — de madrugada, fim de semana e feriado. A gente entende seu ambiente numa conversa rápida e monta uma proposta sob medida.