Resposta a incidentes (incident response, ou IR) é o processo estruturado de detectar, conter e se recuperar de um ataque de segurança, minimizando o dano. Em vez de improvisar no meio do caos, a equipe segue fases definidas — inspiradas nos frameworks do NIST e do SANS — para agir rápido, limitar o estrago e voltar ao normal com o mínimo de perda.
Nenhuma defesa é perfeita. Mais cedo ou mais tarde, algo passa: um e-mail de phishing clicado, uma senha vazada, um servidor exposto. O que separa um susto de uma catástrofe não é evitar 100% dos ataques — é quão rápido e organizado você reage quando um deles dá certo. É para isso que existe a resposta a incidentes.
As 6 fases da resposta a incidentes
Os frameworks de referência (o NIST SP 800-61 e o modelo do SANS) descrevem um ciclo de fases. Elas se sobrepõem um pouco na prática, mas a lógica é sempre a mesma:
| # | Fase | O que acontece |
|---|---|---|
| 1 | Preparação | Montar o plano, os papéis, os contatos e as ferramentas antes de qualquer ataque — para não improvisar na hora. |
| 2 | Identificação / Detecção | Perceber que algo está errado, confirmar que é um incidente real e entender seu escopo. |
| 3 | Contenção | Isolar a ameaça para impedir que ela se espalhe — bloquear o invasor, cortar o acesso, isolar a máquina. |
| 4 | Erradicação | Remover a causa raiz: apagar o malware, fechar a brecha, revogar as credenciais comprometidas. |
| 5 | Recuperação | Restaurar sistemas e dados, colocar tudo de volta em produção e monitorar para garantir que a ameaça sumiu. |
| 6 | Lições aprendidas | Revisar o que aconteceu, documentar e ajustar defesas e processos para o próximo incidente ser menor. |
Repare que o ciclo é fechado: as lições aprendidas alimentam a preparação da próxima vez. Um bom programa de segurança melhora a cada incidente, em vez de repetir os mesmos erros.
MTTD e MTTR: por que o tempo define o prejuízo
Duas métricas resumem a qualidade de uma resposta. O MTTD (Mean Time To Detect — tempo médio de detecção) mede quanto tempo leva para você perceber que foi atacado. O MTTR (Mean Time To Respond — tempo médio de resposta e contenção) mede quanto tempo leva para parar o ataque depois de detectado.
A soma dos dois é a janela em que o invasor age livremente. Quando essa janela é de dias, dá tempo de sequestrar dados, instalar ransomware e apagar rastros. Quando é de minutos, o ataque é contido antes de virar prejuízo. Quanto menor o MTTD e o MTTR, menor o estrago — é matemática direta.
Por que o plantão 24h muda o jogo
Ataques não acontecem no horário comercial — pelo contrário. Os criminosos escolhem a madrugada, o fim de semana e os feriados justamente porque sabem que não tem ninguém olhando. Um alerta que dispara às 3h de um domingo não serve de nada se fica parado numa caixa de e-mail até segunda-feira.
Um plantão que escala de verdade — que acorda alguém, idealmente por ligação no celular em casos críticos — transforma esse alerta em ação imediata. E melhor ainda: quando a resposta é automática, a ameaça é contida antes de acordar qualquer pessoa. O Argos faz bloqueio automático no firewall em segundos e tem plantão 24h que liga para o celular quando o caso é grave. Assim a contenção começa na hora, não no próximo expediente.
Ter um plano de resposta a incidentes
A pior hora de decidir quem faz o quê é durante o incêndio. Um plano de resposta a incidentes é o documento que responde, com antecedência, às perguntas que aparecem no pior momento: quem lidera? Quem liga para o jurídico? Qual o passo a passo para isolar um servidor? Como e quando comunicamos os afetados?
Um plano bem feito define papéis, contatos e passos antes de precisar deles. Ele não precisa ser um calhamaço — precisa ser claro, acessível e treinado. Empresas que têm e ensaiam esse plano contêm incidentes muito mais rápido do que as que descobrem o processo no meio da crise. Se você ainda não sabe como esse trabalho é operado de ponta a ponta, veja o que é um SOC gerenciado e como um teste de invasão (pentest) encontra as brechas antes do criminoso.
É esse conjunto que o Argos entrega: detecção 24h com triagem apoiada pela IA Alice (opcional, baseada em Claude/Anthropic), bloqueio automático em segundos e plantão que escala por ligação — tudo operado pela NoBug, com dados no Brasil e aderência à LGPD.
Perguntas frequentes
Qual a diferença entre um alerta e um incidente?
Um alerta é apenas um sinal de que algo suspeito pode estar acontecendo — muitos são ruído ou falso positivo. Um incidente é um evento confirmado que ameaça a segurança do ambiente. A triagem existe justamente para separar os alertas irrelevantes daqueles que viram incidentes de verdade e exigem resposta.
Quanto tempo se tem para responder a um incidente?
Depende do ataque, mas a regra é simples: quanto antes, melhor. Um ransomware pode criptografar uma rede inteira em minutos. Por isso a meta de um bom serviço é conter em minutos, não em horas ou dias. O bloqueio automático ajuda a ganhar esse tempo enquanto um analista investiga.
A LGPD obriga a comunicar incidentes de segurança?
Sim. Quando um incidente pode acarretar risco ou dano relevante aos titulares, a LGPD exige comunicação à ANPD e aos titulares afetados, em prazo razoável. Ter um plano de resposta documentado facilita cumprir essa obrigação com rapidez e registro. Veja mais em LGPD e segurança.
Dá para automatizar a resposta a incidentes?
Boa parte, sim. Ações como bloquear um IP no firewall, isolar um dispositivo ou barrar um login suspeito podem ser automáticas e acontecer em segundos, sem esperar alguém acordar. A automação contém a ameaça; o analista humano investiga e decide os próximos passos.