Plano de Resposta a Incidentes

1. Âmbito e Objetivos

1.1 Âmbito de Aplicação

Este Plano de Resposta a Incidentes aplica-se a [nome da organização] e abrange todos os sistemas, redes, aplicações e dados que suportam as operações da organização, incluindo infraestrutura on-premises, cloud e serviços geridos por terceiros.

Entidades Abrangidas: [listar entidades, departamentos, filiais, subsidiárias]

Sistemas Críticos: [listar sistemas críticos para o negócio, e.g., ERP, CRM, sistemas de produção]

Exclusões: [listar exclusões, se aplicável, e.g., "sistemas legados em fase de desativação"]

1.2 Objetivos

Este plano visa estabelecer procedimentos claros e eficazes para:

Deteção Rápida: [objetivo de deteção, e.g., "Detetar incidentes de segurança em menos de 15 minutos através de monitorização contínua"]
Contenção Eficaz: [objetivo de contenção, e.g., "Isolar e conter incidentes críticos em menos de 30 minutos"]
Erradicação Completa: [objetivo de erradicação, e.g., "Remover todas as ameaças e vulnerabilidades exploradas em menos de 4 horas"]
Recuperação Rápida: [objetivo de recuperação, e.g., "Restaurar operações normais em menos de 24 horas para incidentes críticos"]
Lições Aprendidas: [objetivo de melhoria contínua, e.g., "Realizar revisão pós-incidente em 100% dos casos para identificar melhorias"]
Compliance Regulatório: [objetivo de compliance, e.g., "Cumprir 100% dos prazos de notificação obrigatória NIS2"]

1.3 Compliance e Alinhamento Regulatório

Este plano está alinhado com os seguintes requisitos e standards internacionais:

NIS2 (EU) 2022/2555 - Artigo 21(2)(b): [descrever alinhamento, e.g., "Implementação de políticas e procedimentos para gestão de incidentes com notificação obrigatória a autoridades competentes"]
ISO/IEC 27035-1:2023 (Incident Management): [descrever alinhamento, e.g., "Adoção do framework de 5 fases: Preparação, Deteção, Avaliação, Resposta e Lições Aprendidas"]
ISO/IEC 27035-3:2020 (ICT Incident Response Testing): [descrever alinhamento, e.g., "Realização de testes trimestrais de resposta a incidentes"]
NIST SP 800-61r2 (Computer Security Incident Handling): [descrever alinhamento, e.g., "Estruturação CSIRT conforme melhores práticas NIST"]
GDPR (Regulamento Geral de Proteção de Dados): [descrever alinhamento, e.g., "Procedimentos de notificação de violações de dados pessoais em conformidade com Artigos 33 e 34"]

1.4 Revisão e Atualização

Frequência de Revisão: [frequência, e.g., "Anualmente ou após incidentes críticos"]

Responsável pela Revisão: [cargo/nome, e.g., "CISO"]

Aprovação Final: [órgão/cargo, e.g., "Administração"]

Data da Última Revisão: [data]

Próxima Revisão Agendada: [data]

2. Definições e Classificação de Incidentes

2.1 Definições Chave

Evento de Segurança: [definição, e.g., "Qualquer ocorrência observável num sistema ou rede que pode indicar uma atividade anómala"]
Incidente de Segurança: [definição, e.g., "Evento confirmado que viola políticas de segurança, resultando em comprometimento da confidencialidade, integridade ou disponibilidade"]
Vulnerabilidade: [definição, e.g., "Fraqueza num sistema que pode ser explorada por ameaças"]
Ameaça: [definição, e.g., "Potencial causa de um incidente indesejado que pode resultar em danos para sistemas ou organização"]
CSIRT (Computer Security Incident Response Team): [definição, e.g., "Equipa especializada responsável por receber, analisar e responder a incidentes de segurança"]
IOC (Indicator of Compromise): [definição, e.g., "Evidência forense que indica comprometimento de sistema, como hashes de malware, IPs maliciosos"]

2.2 Matriz de Severidade de Incidentes

Todos os incidentes são classificados segundo os seguintes níveis de severidade:

Nível	Descrição	Impacto	Tempo de Resposta	Exemplos
CRÍTICO	[descrição, e.g., "Impacto severo em operações críticas, perda significativa de dados, comprometimento total de sistemas"]	[impacto, e.g., "Paralisação total de serviços, perda financeira > €100k, comprometimento dados pessoais sensíveis"]	[SLA, e.g., "Imediato - 15 minutos"]	[exemplos, e.g., "Ransomware ativo, Data breach massivo, Comprometimento de infraestrutura crítica"]
ALTO	[descrição, e.g., "Impacto significativo em operações, potencial perda de dados, comprometimento parcial de sistemas"]	[impacto, e.g., "Degradação severa de serviços, perda financeira €10k-€100k, exposição de dados não sensíveis"]	[SLA, e.g., "Urgente - 1 hora"]	[exemplos, e.g., "Ataque DDoS ativo, Malware detetado em múltiplos sistemas, Exploração de vulnerabilidade crítica"]
MÉDIO	[descrição, e.g., "Impacto moderado em operações, risco controlado de perda de dados"]	[impacto, e.g., "Degradação moderada de serviços, perda financeira €1k-€10k, sem exposição de dados"]	[SLA, e.g., "Prioritário - 4 horas"]	[exemplos, e.g., "Phishing direcionado, Tentativa de intrusão bloqueada, Configuração insegura detetada"]
BAIXO	[descrição, e.g., "Impacto mínimo em operações, sem risco imediato de perda de dados"]	[impacto, e.g., "Sem impacto em serviços, perda financeira < €1k, violação menor de política"]	[SLA, e.g., "Normal - 24 horas"]	[exemplos, e.g., "Scan de vulnerabilidades externo, Tentativa de login falhada, Violação de política de passwords"]

2.3 Critérios de Classificação

A severidade é determinada com base nos seguintes critérios (CIA Triad):

Confidencialidade

Crítico: [critério, e.g., "Exposição de dados pessoais sensíveis (GDPR Artigo 9), segredos comerciais, propriedade intelectual"]
Alto: [critério, e.g., "Exposição de dados pessoais não sensíveis, informação confidencial interna"]
Médio: [critério, e.g., "Exposição de informação interna não confidencial"]
Baixo: [critério, e.g., "Exposição de informação pública"]

Integridade

Crítico: [critério, e.g., "Alteração ou destruição de dados críticos de produção, logs de auditoria, backups"]
Alto: [critério, e.g., "Alteração de dados importantes não críticos, configurações de sistema"]
Médio: [critério, e.g., "Alteração de dados não críticos com impacto limitado"]
Baixo: [critério, e.g., "Alteração de dados de teste ou desenvolvimento"]

Disponibilidade

Crítico: [critério, e.g., "Indisponibilidade total de sistemas críticos > 4 horas"]
Alto: [critério, e.g., "Indisponibilidade de sistemas importantes ou sistemas críticos 1-4 horas"]
Médio: [critério, e.g., "Degradação de performance, indisponibilidade parcial < 1 hora"]
Baixo: [critério, e.g., "Impacto mínimo em disponibilidade, redundância ativa"]

3. Estrutura da Equipa CSIRT

3.1 Organograma e Papéis

A equipa CSIRT (Computer Security Incident Response Team) é a unidade responsável pela gestão de incidentes de segurança. A estrutura organizacional é:

📋 Nota: Esta equipa deve estar operacional 24/7/365 para incidentes críticos, com rotação de on-call definida.

Papel	Responsabilidades Principais	Titular	Contacto 24/7	Backup
CISO (Chief Information Security Officer)	[responsabilidades, e.g., "Liderança estratégica, decisões executivas, comunicação com administração, aprovação de respostas críticas"]	[nome completo]	[+351 XXX XXX XXX / email]	[nome backup]
Incident Response Manager	[responsabilidades, e.g., "Coordenação operacional do CSIRT, gestão de incidentes, reporting, liaison com stakeholders"]	[nome completo]	[contacto 24/7]	[nome backup]
Security Analyst (Tier 1)	[responsabilidades, e.g., "Monitorização SIEM, triagem de alertas, deteção inicial de incidentes, escalation"]	[nome(s)]	[contacto(s)]	[backup]
Security Analyst (Tier 2)	[responsabilidades, e.g., "Investigação profunda, análise de IOCs, contenção de incidentes, remediação"]	[nome(s)]	[contacto(s)]	[backup]
Digital Forensics Specialist	[responsabilidades, e.g., "Preservação de evidências, análise forense, reconstrução de timeline de ataque, suporte legal"]	[nome/fornecedor externo]	[contacto]	[backup]
Threat Intelligence Analyst	[responsabilidades, e.g., "Análise de TTPs, correlação com threat landscape, atualização de IOCs, threat hunting"]	[nome]	[contacto]	[backup]
IT Operations Lead	[responsabilidades, e.g., "Implementação de contenções de rede, restore de sistemas, coordenação com infraestrutura"]	[nome]	[contacto]	[backup]
Communications Lead	[responsabilidades, e.g., "Comunicação interna/externa, gestão de crise mediática, coordenação com relações públicas"]	[nome]	[contacto]	[backup]
Legal Counsel	[responsabilidades, e.g., "Aconselhamento legal, gestão de notificações regulatórias, coordenação com autoridades"]	[nome/departamento jurídico]	[contacto]	[backup]
Data Protection Officer (DPO)	[responsabilidades, e.g., "Avaliação de impacto GDPR, notificações de violação de dados, interface com autoridades de proteção de dados"]	[nome]	[contacto]	[backup]

3.2 Matriz de Escalation

Incidentes são escalados conforme a seguinte matriz hierárquica:

Tier	Severidade	Quem Escala	Para Quem	Quando
Tier 1	Baixo / Médio	Security Analyst (Tier 1)	Security Analyst (Tier 2)	[critério, e.g., "Se não resolvido em 30 minutos ou se complexidade excede capacidade Tier 1"]
Tier 2	Médio / Alto	Security Analyst (Tier 2)	Incident Response Manager	[critério, e.g., "Incidentes Alto ou se não resolvido em 2 horas"]
Tier 3	Alto / Crítico	Incident Response Manager	CISO + Administração	[critério, e.g., "Incidentes Críticos imediatamente, incidentes Alto se não contidos em 4 horas ou se impacto reputacional/financeiro significativo"]

3.3 Contactos Externos Críticos

Em caso de incidente, os seguintes contactos externos podem ser necessários:

Entidade	Tipo de Incidente	Contacto	Email	Notas
CNCS (Centro Nacional de Cibersegurança)	Todos os incidentes NIS2 (Alto/Crítico)	[+351 XXX XXX XXX]	[cert@cncs.gov.pt]	[notas, e.g., "Notificação obrigatória 24h/72h/30d"]
CNPD (Comissão Nacional de Proteção de Dados)	Violações de dados pessoais	[contacto]	[geral@cnpd.pt]	[notas, e.g., "Notificação GDPR 72 horas"]
Polícia Judiciária (Unidade Nacional de Combate ao Cibercrime)	Crimes informáticos	[contacto]	[uncc@pj.pt]	[notas, e.g., "Queixa-crime obrigatória para certos incidentes"]
CERT.PT	Todos os incidentes cibernéticos	[contacto]	[cert@cert.pt]	[notas, e.g., "Notificação voluntária, suporte técnico"]
ISP / Cloud Provider	Incidentes de rede, DDoS	[contacto do fornecedor]	[email abuse/security]	[notas específicas do contrato]
Cyber Insurance	Incidentes cobertos por apólice	[contacto seguradora]	[email claims]	[número de apólice, SLA de notificação]
Fornecedor de MSSP/SOC	Suporte especializado	[contacto 24/7]	[email]	[SLA contratual]

3.4 Ferramentas e Recursos CSIRT

A equipa CSIRT dispõe das seguintes ferramentas e recursos:

SIEM (Security Information and Event Management): [ferramenta, e.g., "Splunk Enterprise", "Microsoft Sentinel"]
EDR (Endpoint Detection and Response): [ferramenta, e.g., "CrowdStrike Falcon", "Microsoft Defender for Endpoint"]
Network Security Monitoring: [ferramentas, e.g., "Palo Alto Networks NGFW, Zeek IDS"]
Forensics Tools: [ferramentas, e.g., "EnCase, FTK, Volatility"]
Threat Intelligence Platform: [ferramenta, e.g., "MISP, Recorded Future"]
Ticketing System: [sistema, e.g., "JIRA Service Desk, ServiceNow"]
Comunicação Segura: [ferramentas, e.g., "Signal, war room dedicado"]

4. Fases de Resposta a Incidentes (ISO 27035)

Este plano segue o framework de 5 fases da ISO/IEC 27035-1:2023:

4.1 Fase 1: Preparação

Atividades contínuas para garantir prontidão da organização para responder a incidentes:

4.1.1 Políticas e Procedimentos

Políticas de Segurança Ativas: [listar políticas, e.g., "Política de Segurança da Informação, Política de Uso Aceitável, Política de Gestão de Acessos"]
Procedimentos Operacionais: [listar SOPs, e.g., "SOP-IR-001: Triagem de Alertas SIEM, SOP-IR-002: Isolamento de Endpoints"]
Playbooks Ativos: [listar playbooks, e.g., "Ransomware, Data Breach, DDoS, Phishing, Insider Threat"]

4.1.2 Ferramentas e Tecnologias

Monitorização 24/7: [descrição, e.g., "SIEM com correlação de eventos, alertas em tempo real"]
Deteção de Ameaças: [capacidades, e.g., "EDR em todos os endpoints, IDS/IPS na perímetro, threat hunting proativo"]
Capacidade de Resposta: [capacidades, e.g., "Isolamento remoto de endpoints, bloqueio de IPs/domínios, quarentena automática"]
Ferramentas Forenses: [ferramentas disponíveis]

4.1.3 Formação e Sensibilização

Formação CSIRT: [programa, e.g., "Formação trimestral em análise de malware, forensics, threat hunting"]
Exercícios Tabletop: [frequência e âmbito, e.g., "Exercícios semestrais simulando ransomware e data breach"]
Sensibilização de Utilizadores: [programa, e.g., "Formação anual obrigatória em segurança, phishing simulations mensais"]
Certificações da Equipa: [certificações, e.g., "CISSP, GCIH, GCFA, GCIA"]

4.1.4 Backup e Disaster Recovery

Estratégia de Backup: [estratégia, e.g., "Regra 3-2-1: 3 cópias, 2 meios diferentes, 1 offsite"]
Frequência de Backups: [frequência, e.g., "Backups incrementais diários, completos semanais"]
RTO (Recovery Time Objective): [objetivo, e.g., "4 horas para sistemas críticos"]
RPO (Recovery Point Objective): [objetivo, e.g., "1 hora de perda de dados máxima"]
Testes de Restore: [frequência, e.g., "Testes trimestrais de restore de sistemas críticos"]

4.2 Fase 2: Deteção e Reporte

Identificação de potenciais incidentes e notificação à equipa CSIRT:

4.2.1 Fontes de Deteção

Alertas SIEM: [descrição, e.g., "Correlação automática de eventos, alertas para anomalias comportamentais"]
EDR Alerts: [descrição, e.g., "Deteção de malware, comportamento suspeito de processos"]
IDS/IPS: [descrição, e.g., "Deteção de tráfego malicioso, tentativas de exploração"]
Reportes de Utilizadores: [canal, e.g., "Email security@organization.pt, botão 'Report Phishing' no Outlook"]
Threat Intelligence: [fontes, e.g., "Feeds de IOCs, alertas de fornecedores"]
Auditorias e Logs: [descrição, e.g., "Análise de logs de acesso, auditorias de alterações"]

4.2.2 Canais de Reporte

Qualquer pessoa pode reportar um incidente através de:

Email Dedicado: [email, e.g., "incidents@organization.pt"]
Telefone 24/7: [número de emergência]
Portal de Tickets: [URL e instruções]
Chat Interno: [canal, e.g., "Canal #security-incidents no Slack/Teams"]

4.2.3 Triagem Inicial

Ao receber um reporte, o Security Analyst (Tier 1) executa:

Validação: [procedimento, e.g., "Confirmar se é evento de segurança ou incidente, descartar falsos positivos"]
Classificação Preliminar: [procedimento, e.g., "Atribuir severidade inicial (Baixo/Médio/Alto/Crítico)"]
Criação de Ticket: [procedimento, e.g., "Abrir ticket no sistema com todas as informações disponíveis"]
Notificação: [procedimento, e.g., "Alertar Incident Response Manager para incidentes Alto/Crítico"]

4.3 Fase 3: Avaliação e Decisão

Análise profunda do incidente e decisão sobre a resposta adequada:

4.3.1 Análise de Severidade

O Security Analyst (Tier 2) ou Incident Response Manager avalia:

Escopo do Comprometimento: [fatores, e.g., "Número de sistemas afetados, dados expostos, propagação do incidente"]
Impacto no Negócio: [fatores, e.g., "Serviços afetados, clientes impactados, perda financeira estimada"]
Vector de Ataque: [análise, e.g., "Como o atacante entrou, TTPs utilizadas, persistência estabelecida"]
Risco de Propagação: [avaliação, e.g., "Potencial de movimentação lateral, sistemas adjacentes vulneráveis"]

4.3.2 Classificação Final

Com base na análise, o incidente é classificado definitivamente usando a matriz de severidade (Secção 2.2).

4.3.3 Decisão de Ativação

Incidentes Críticos: [decisão, e.g., "Ativação imediata do plano completo, convocação de todo o CSIRT, notificação ao CISO e administração"]
Incidentes Alto: [decisão, e.g., "Ativação de equipa alargada, notificação ao Incident Response Manager"]
Incidentes Médio/Baixo: [decisão, e.g., "Gestão por Security Analysts, escalation se necessário"]

4.4 Fase 4: Resposta

Execução de ações coordenadas para conter, erradicar e recuperar do incidente:

4.4.1 Contenção

Objetivo: Limitar o impacto e prevenir propagação do incidente.

Contenção Imediata (Short-term):

Isolamento de Sistemas: [ações, e.g., "Desconectar sistemas comprometidos da rede, isolar VLANs afetadas"]
Bloqueio de Acessos: [ações, e.g., "Revogar credenciais comprometidas, bloquear IPs maliciosos no firewall"]
Desativação de Contas: [ações, e.g., "Suspender contas de utilizador suspeitas, desativar contas de serviço comprometidas"]
Preservação de Evidências: [ações, e.g., "Captura de imagens de memória, snapshot de VMs, preservação de logs"]

Contenção Sustentada (Long-term):

Segmentação de Rede: [ações, e.g., "Implementar micro-segmentação, restringir comunicação entre VLANs"]
Hardening Temporário: [ações, e.g., "Aplicar configurações de segurança reforçadas, ativar autenticação multi-fator obrigatória"]
Monitorização Reforçada: [ações, e.g., "Aumentar nível de logging, implementar alertas adicionais"]

4.4.2 Erradicação

Objetivo: Remover completamente a ameaça do ambiente.

Remoção de Malware: [ações, e.g., "Executar scans antimalware em todos os sistemas, remover persistência de malware"]
Patch de Vulnerabilidades: [ações, e.g., "Aplicar patches de segurança para vulnerabilidades exploradas"]
Remoção de Backdoors: [ações, e.g., "Identificar e remover todas as formas de acesso persistente do atacante"]
Correção de Configurações: [ações, e.g., "Corrigir misconfigurations que permitiram o incidente"]
Reset de Credenciais: [ações, e.g., "Forçar reset de passwords de todas as contas potencialmente comprometidas"]

4.4.3 Recuperação

Objetivo: Restaurar sistemas e operações normais com confiança.

Restore de Sistemas: [ações, e.g., "Restaurar sistemas a partir de backups verificados e limpos"]
Validação de Integridade: [ações, e.g., "Verificar integridade de dados restaurados, executar scans de segurança completos"]
Reconexão Gradual: [ações, e.g., "Reconectar sistemas à rede de forma faseada com monitorização intensiva"]
Testes Funcionais: [ações, e.g., "Validar que sistemas restaurados funcionam corretamente"]
Monitorização Pós-Recuperação: [ações, e.g., "Monitorização 24/7 durante X dias para detetar recorrência"]

4.5 Fase 5: Lições Aprendidas

Análise pós-incidente para melhoria contínua:

4.5.1 Post-Incident Review Meeting

Timing: [quando, e.g., "Até 5 dias úteis após encerramento do incidente"]

Participantes: [quem, e.g., "Todo o CSIRT, stakeholders afetados, gestão sénior para incidentes críticos"]

Agenda da Reunião:

Timeline do Incidente: [tópico, e.g., "Reconstrução detalhada do que aconteceu e quando"]
Root Cause Analysis: [tópico, e.g., "Identificação da causa raiz e fatores contribuintes"]
O Que Funcionou Bem: [tópico, e.g., "Aspetos da resposta que foram eficazes"]
O Que Pode Melhorar: [tópico, e.g., "Gaps identificados, atrasos, ferramentas em falta"]
Ações Corretivas: [tópico, e.g., "Lista de ações prioritizadas com responsáveis e prazos"]

4.5.2 Documentação

Relatório de Incidente: [requisitos, e.g., "Documento completo com timeline, ações tomadas, impacto, custos"]
Atualização de IOCs: [ação, e.g., "Adicionar novos IOCs ao threat intelligence platform"]
Knowledge Base: [ação, e.g., "Criar artigo com lições aprendidas e procedimentos melhorados"]

4.5.3 Ações Corretivas e Preventivas

Melhorias Técnicas: [exemplos, e.g., "Implementar novas regras de deteção, fortalecer controlos"]
Melhorias de Processo: [exemplos, e.g., "Atualizar playbooks, reduzir tempos de resposta"]
Formação Adicional: [exemplos, e.g., "Treinar equipa em técnicas específicas identificadas como gaps"]
Atualização do Plano: [ação, e.g., "Incorporar lições aprendidas neste plano de resposta"]

4.5.4 Sharing e Colaboração

Sharing com CERT.PT/CNCS: [quando, e.g., "Partilhar IOCs e TTPs anonimizadas para beneficiar comunidade"]
Partilha Setorial: [quando, e.g., "Partilhar alertas com parceiros do setor através de ISACs"]

5. Playbook: Ransomware

⚠️ SEVERIDADE: CRÍTICA

Ransomware é um incidente crítico que requer ativação imediata de todo o plano de resposta. Tempo é essencial para prevenir encriptação de mais sistemas.

5.1 Indicadores de Comprometimento (IOCs)

Sinais que podem indicar ataque de ransomware:

Alterações em Ficheiros: [sinais, e.g., "Extensões de ficheiros alteradas (.locked, .encrypted, .crypted), ficheiros renomeados em massa"]
Notas de Resgate: [sinais, e.g., "Ficheiros README.txt, HOW_TO_DECRYPT.html em múltiplos diretórios"]
Processos Suspeitos: [sinais, e.g., "Processos de encriptação em execução, processos com nomes aleatórios consumindo CPU"]
Conexões de Rede: [sinais, e.g., "Comunicação com C2 servers conhecidos, exfiltração de dados antes de encriptação"]
Alterações no Sistema: [sinais, e.g., "Shadow copies deletadas, backups removidos, logs apagados"]
Alertas EDR/AV: [sinais, e.g., "Múltiplos alertas de behavioral detection, tentativas de desativar antivírus"]

5.2 Contenção Imediata (Primeiros 15 Minutos)

PRIORIDADE MÁXIMA: Parar a propagação antes de mais danos.

Minuto 0-5: Isolamento

Isolar Sistemas Afetados: [ação, e.g., "Desconectar fisicamente ou via EDR todos os sistemas com sinais de encriptação"]
NÃO Desligar: [importante, e.g., "Manter sistemas ligados para preservar memória RAM com evidências"]
Isolar Segmentos de Rede: [ação, e.g., "Isolar VLANs afetadas no switch/firewall"]

Minuto 5-10: Proteção de Backups

Desconectar Backups: [ação CRÍTICA, e.g., "Desconectar imediatamente storage de backups da rede, verificar se backups offline estão seguros"]
Verificar Integridade: [ação, e.g., "Confirmar que backups não foram comprometidos"]
Snapshot Imediato: [ação, e.g., "Tirar snapshot de sistemas críticos não afetados"]

Minuto 10-15: Preservação de Evidências

Captura de Memória: [ação, e.g., "Capturar RAM de 2-3 sistemas afetados para análise forense"]
Preservação de Logs: [ação, e.g., "Copiar logs de firewall, SIEM, AD para storage seguro"]
Screenshots: [ação, e.g., "Fotografar ecrãs com mensagens de ransomware"]

5.3 Análise e Identificação (30-60 Minutos)

Identificar a variante de ransomware e avaliar opções de recuperação:

5.3.1 Identificação da Variante

Análise da Nota de Resgate: [ação, e.g., "Recolher texto completo da nota, URLs de pagamento, contactos"]
Identificação de Extensão: [ação, e.g., "Documentar extensão usada nos ficheiros encriptados"]
Consulta de Bases de Dados: [ação, e.g., "Verificar ID Ransomware (https://id-ransomware.malwarehunterteam.com/), No More Ransom"]
Análise de Amostras: [ação, e.g., "Enviar amostras para sandbox (Any.Run, Hybrid Analysis) e threat intelligence"]

5.3.2 Avaliação de Decryptor

Verificar No More Ransom: [ação, e.g., "Procurar decryptor gratuito em https://www.nomoreransom.org/"]
Consulta com Fornecedores: [ação, e.g., "Contactar fornecedores de segurança (Kaspersky, ESET, Avast) para decryptors"]
Análise de Viabilidade: [ação, e.g., "Se não existe decryptor, avançar para análise de opções de recuperação"]

5.3.3 Scope do Impacto

Sistemas Afetados: [inventariar, e.g., "Listar todos os sistemas encriptados, VMs, servidores, endpoints"]
Dados Comprometidos: [avaliar, e.g., "Identificar que dados foram encriptados e criticidade de cada dataset"]
Exfiltração: [investigar, e.g., "Verificar se houve exfiltração de dados antes da encriptação (double extortion)"]
Impacto no Negócio: [quantificar, e.g., "Calcular downtime, perda de receita, custos de recuperação"]

5.4 Decisão sobre Pagamento de Resgate

⚠️ IMPORTANTE: O pagamento de resgate deve ser a ÚLTIMA opção, considerada apenas após esgotar todas as alternativas de recuperação.

5.4.1 Critérios de Avaliação

Considerar os seguintes fatores:

Criticidade dos Dados: [fator, e.g., "Dados encriptados são críticos para continuidade do negócio? Existem alternativas?"]
Disponibilidade de Backups: [fator, e.g., "Backups estão íntegros e permitem recuperação completa?"]
Custo de Recuperação vs. Resgate: [fator, e.g., "Análise custo-benefício de rebuilding vs. pagamento"]
Tempo de Recuperação: [fator, e.g., "Organização pode suportar downtime de X dias para rebuild?"]
Reputação e Confiança: [fator, e.g., "Impacto reputacional de não recuperar vs. de pagar criminosos"]
Garantias de Decryptor: [fator, e.g., "Existe garantia de que atacantes fornecerão decryptor funcional? Histórico desta gang?"]

5.4.2 Processo de Aprovação

Se considerado pagamento de resgate:

Aprovação da Administração: [requisito, e.g., "Decisão final pelo CEO/Board após apresentação de todas as opções"]
Consulta Jurídica: [requisito, e.g., "Validar legalidade do pagamento, considerações de sanctions compliance"]
Consulta com Seguradora: [requisito, e.g., "Verificar cobertura da apólice para ransom payment"]
Negociação: [ação, e.g., "Considerar envolver negociador profissional especializado em ransomware"]

5.4.3 Considerações Legais e Éticas

Financiamento de Crime: [consideração, e.g., "Pagamento financia organizações criminosas e incentiva mais ataques"]
Sanctions e AML: [consideração, e.g., "Verificar se gang está em lista de sanctions (OFAC, EU)"]
Recomendação de Autoridades: [posição, e.g., "FBI, Europol, CNCS desencorajam pagamento de resgate"]

5.5 Recuperação

5.5.1 Recuperação via Backups (Opção Preferencial)

Validação de Backups: [ação, e.g., "Verificar integridade e completude dos backups disponíveis"]
Priorização de Sistemas: [ação, e.g., "Ordenar restauro: 1) Sistemas críticos, 2) Infraestrutura de suporte, 3) Sistemas secundários"]
Ambiente de Staging: [ação, e.g., "Restaurar inicialmente em ambiente isolado para validação"]
Scan de Segurança: [ação, e.g., "Executar scan completo de malware antes de colocar em produção"]
Restauro Faseado: [ação, e.g., "Restaurar sistema por sistema com validação antes de avançar"]

5.5.2 Rebuild de Sistemas

Se backups não disponíveis ou comprometidos:

Wipe Completo: [ação, e.g., "Formatar e reinstalar sistemas do zero"]
Rebuild from Gold Images: [ação, e.g., "Usar imagens base verificadas e hardened"]
Recriação de Dados: [ação, e.g., "Recuperar dados de fontes alternativas (mobile backups, cloud sync, etc.)"]

5.5.3 Hardening Pós-Recuperação

Patch Management: [ação, e.g., "Garantir todos os sistemas recuperados têm patches atualizados"]
Segmentação Reforçada: [ação, e.g., "Implementar micro-segmentação para limitar movimentação lateral"]
Credenciais: [ação, e.g., "Reset de todas as passwords, implementar MFA obrigatória"]
Monitorização Reforçada: [ação, e.g., "Aumentar logging e alerting durante 90 dias pós-incidente"]

5.6 Comunicação e Notificações

5.6.1 Notificações Regulatórias Obrigatórias (NIS2)

CNCS - 24 Horas: [ação, e.g., "Notificação inicial de incidente significativo via portal CNCS"]
CNCS - 72 Horas: [ação, e.g., "Atualização com detalhes de impacto, medidas de contenção tomadas"]
CNCS - 30 Dias: [ação, e.g., "Relatório final com análise completa, lições aprendidas, medidas preventivas"]

Templates de Notificação:

5.6.2 Comunicação Interna

Administração: [frequência, e.g., "Briefings de 4 em 4 horas durante fase crítica"]
Colaboradores: [mensagem, e.g., "Comunicado sobre incidente, instruções de segurança, canais de suporte"]
IT Teams: [coordenação, e.g., "War room com updates contínuos"]

5.6.3 Comunicação Externa

Clientes/Parceiros: [quando, e.g., "Notificar se serviços afetados ou dados de clientes comprometidos"]
Media: [estratégia, e.g., "Comunicado oficial preparado por Communications Lead, aprovado por administração"]
Seguradoras: [timing, e.g., "Notificação imediata conforme termos da apólice"]

6. Playbook: Data Breach (Violação de Dados)

⚠️ SEVERIDADE: CRÍTICA/ALTA

Violações de dados pessoais têm obrigações legais rigorosas (GDPR 72h, NIS2 24h). Notificações tardias resultam em coimas severas.

6.1 Identificação de Dados Expostos

Determinar com precisão que dados foram comprometidos:

6.1.1 Tipos de Dados

Dados Pessoais (GDPR Art. 4): [identificar, e.g., "Nomes, emails, moradas, NIF, números de telefone, IPs"]
Dados Pessoais Sensíveis (GDPR Art. 9): [identificar, e.g., "Dados de saúde, origem racial/étnica, convicções religiosas, dados biométricos"]
Dados Financeiros: [identificar, e.g., "Números de cartão de crédito, IBANs, histórico de transações"]
Credenciais de Acesso: [identificar, e.g., "Usernames, passwords (hashed/plaintext), tokens, API keys"]
Propriedade Intelectual: [identificar, e.g., "Código-fonte, designs, trade secrets"]
Dados de Negócio: [identificar, e.g., "Contratos, informações financeiras corporativas, estratégias"]

6.1.2 Volume e Titulares Afetados

Número de Registos: [quantificar, e.g., "Estimar número total de registos de dados expostos"]
Titulares de Dados: [identificar, e.g., "Clientes, colaboradores, fornecedores, prospects?"]
Jurisdições: [mapear, e.g., "Titulares são de UE, Portugal, internacional? Implicações regulatórias"]
Menores de Idade: [verificar, e.g., "Dados de crianças envolvidos? (GDPR Art. 8)"]

6.1.3 Vector de Exposição

Como Ocorreu: [investigar, e.g., "Ataque cibernético, misconfiguration, insider threat, perda física?"]
Duração da Exposição: [determinar, e.g., "Desde quando os dados estavam expostos?"]
Acesso Confirmado: [avaliar, e.g., "Há evidência de que alguém acedeu aos dados? Ou apenas potencial de acesso?"]

6.2 Avaliação de Risco (GDPR Art. 33-34)

Determinar o nível de risco para os direitos e liberdades dos titulares:

Nível de Risco	Critérios	Obrigações de Notificação
Risco Elevado	[critérios, e.g., "Dados sensíveis Art. 9, grande volume, alto impacto em direitos/liberdades"]	[obrigações, e.g., "Notificação CNPD 72h + Comunicação aos titulares (Art. 34)"]
Risco Moderado	[critérios, e.g., "Dados pessoais não sensíveis, volume médio, impacto limitado"]	[obrigações, e.g., "Notificação CNPD 72h, comunicação aos titulares se recomendado"]
Risco Baixo	[critérios, e.g., "Dados encriptados com chave não comprometida, impacto mínimo"]	[obrigações, e.g., "Pode não ser necessário notificar, mas documentar internamente"]

6.3 Notificações Obrigatórias

6.3.1 Timeline de Notificações

NIS2 - 24 Horas (CNCS)

Aplicável a: [âmbito, e.g., "Entidades essenciais e importantes - incidentes com impacto significativo"]

Conteúdo: [requisitos, e.g., "Alerta inicial: tipo de incidente, impacto preliminar, medidas tomadas"]

Template: 📋 Notificação CNCS 24 Horas

GDPR - 72 Horas (CNPD)

Aplicável a: [âmbito, e.g., "Todas as violações de dados pessoais que representem risco para direitos e liberdades"]

Conteúdo (GDPR Art. 33):

Natureza da violação de dados pessoais
Categorias e número aproximado de titulares afetados
Categorias e número aproximado de registos afetados
Contacto do DPO
Consequências prováveis da violação
Medidas tomadas ou propostas

Responsável: [quem, e.g., "DPO em coordenação com CISO"]

NIS2 - 72 Horas (CNCS)

Conteúdo: [requisitos, e.g., "Atualização detalhada com análise de impacto, medidas de mitigação implementadas"]

Template: 📋 Notificação CNCS 72 Horas

GDPR - Sem Demora Indevida (Titulares)

Aplicável se: [quando, e.g., "Violação suscetível de resultar em risco elevado para direitos/liberdades (GDPR Art. 34)"]

Conteúdo:

Natureza da violação em linguagem clara
Contacto do DPO
Consequências prováveis
Medidas tomadas ou propostas
Medidas que titulares podem tomar (e.g., alterar passwords)

NIS2 - 30 Dias (CNCS)

Conteúdo: [requisitos, e.g., "Relatório final completo com análise root cause, lições aprendidas, ações preventivas"]

Template: 📋 Relatório Final 30 Dias

6.3.2 Exceções à Notificação aos Titulares

Não é necessário comunicar aos titulares se (GDPR Art. 34(3)):

Medidas técnicas: [e.g., "Dados tornados ininteligíveis (encriptação forte) e chave não comprometida"]
Medidas Subsequentes: [e.g., "Foram tomadas medidas que asseguram que risco elevado deixou de existir"]
Esforço Desproporcionado: [e.g., "Comunicação individual exigiria esforço desproporcionado - usar comunicação pública"]

6.4 Contenção e Remediação

6.4.1 Contenção Imediata

Parar Exposição: [ação, e.g., "Fechar vector de acesso (e.g., tornar bucket S3 privado, desativar conta comprometida)"]
Revogar Acessos: [ação, e.g., "Revogar tokens/API keys expostas, desativar contas comprometidas"]
Isolar Sistemas: [ação, e.g., "Isolar base de dados comprometida enquanto se investiga"]

6.4.2 Análise Forense

Timeline de Exposição: [investigar, e.g., "Determinar quando a exposição começou e terminou"]
Logs de Acesso: [analisar, e.g., "Revisar logs para identificar se dados foram acedidos/exfiltrados"]
Identificação de Atacante: [investigar, e.g., "IPs de origem, TTPs utilizadas, atribuição se possível"]

6.4.3 Remediação

Correção da Vulnerabilidade: [ação, e.g., "Patch de vulnerabilidade explorada, correção de misconfiguration"]
Reset de Credenciais: [ação, e.g., "Forçar reset de passwords de todas as contas afetadas"]
Reforço de Controlos: [ação, e.g., "Implementar MFA, encriptação de dados sensíveis, DLP"]

6.5 Comunicação aos Titulares de Dados

6.5.1 Preparação da Comunicação

Aprovação Legal: [requisito, e.g., "Revisão e aprovação pelo departamento jurídico antes de envio"]
Linguagem Clara: [requisito, e.g., "Evitar jargão técnico, usar linguagem acessível ao público geral"]
Transparência: [requisito, e.g., "Ser honesto sobre o que aconteceu, que dados foram afetados, que medidas foram tomadas"]

6.5.2 Conteúdo Obrigatório

A comunicação deve incluir:

O Que Aconteceu: [descrição simples do incidente]
Que Dados Foram Afetados: [lista específica]
Quando Ocorreu: [timeline]
O Que Estamos a Fazer: [medidas tomadas]
O Que Pode Fazer: [ações recomendadas aos titulares, e.g., "alterar password, monitorizar extratos bancários"]
Contacto para Questões: [email/telefone do DPO ou linha de apoio dedicada]
Serviços de Apoio: [se aplicável, e.g., "Oferecemos 12 meses de serviço de monitorização de crédito gratuito"]

6.5.3 Canais de Comunicação

Email Individual: [quando, e.g., "Método preferencial se temos emails válidos dos titulares"]
Carta Registada: [quando, e.g., "Para dados sensíveis ou se não temos emails"]
Comunicação Pública: [quando, e.g., "Se comunicação individual for desproporcionada - via website, imprensa"]
FAQ Dedicada: [requisito, e.g., "Criar página web com FAQs sobre o incidente"]

6.6 Monitorização Pós-Breach

Dark Web Monitoring: [ação, e.g., "Monitorizar fóruns e marketplaces para verificar se dados foram publicados/vendidos"]
Alertas de Fraude: [ação, e.g., "Monitorizar para atividades fraudulentas usando dados expostos"]
Apoio aos Titulares: [ação, e.g., "Linha de apoio dedicada durante X meses pós-incidente"]
Reporte Periódico: [ação, e.g., "Updates aos titulares se novos desenvolvimentos (e.g., dados encontrados em leak)"]

7. Playbook de DDoS (Distributed Denial of Service)

🎯 Objetivo: Procedimentos para responder a ataques DDoS que visam sobrecarregar e tornar indisponíveis os serviços online da organização.

📊 Severidade Típica: Alta a Crítica (depende de serviços afetados)

⏱️ SLA de Resposta: 15 minutos (ativação de mitigação)

7.1 Identificação de Ataque DDoS

7.1.1 Tipos de Ataques DDoS

Volumetric Attacks: [descrição, e.g., "UDP floods, ICMP floods, DNS amplification - objetivo é saturar largura de banda"]
Protocol Attacks: [descrição, e.g., "SYN floods, Ping of Death, fragmentação - objetivo é esgotar recursos de servidores/firewalls"]
Application Layer Attacks (L7): [descrição, e.g., "HTTP floods, Slowloris, ataques a APIs - objetivo é esgotar recursos de aplicação"]

7.1.2 Indicadores de Ataque DDoS

Traffic Spikes Anormais: [métrica, e.g., "Aumento súbito de tráfego 10x+ acima da baseline normal"]
Service Degradation: [sintoma, e.g., "Website/API extremamente lento ou irresponsivo"]
Server Overload: [sintoma, e.g., "CPU/memória/conexões no limite, timeouts frequentes"]
Origem Distribuída: [indicador, e.g., "Tráfego provém de múltiplos IPs geograficamente dispersos"]
Padrões de Tráfego: [indicador, e.g., "Requests repetitivos, User-Agents idênticos, headers malformados"]

7.2 Ativação de Mitigação DDoS

7.2.1 Contacto Fornecedores

ISP (Internet Service Provider):
- Nome: [nome do ISP]
- Contacto 24/7: [telefone/email NOC]
- Tempo de resposta: [SLA contratual, e.g., "30 minutos"]
CDN/DDoS Protection Provider:
- Fornecedor: [e.g., "Cloudflare Enterprise"]
- Contacto 24/7: [telefone/email suporte prioritário]
- Portal de ativação: [URL do dashboard]

7.2.2 Ativação de Proteção DDoS

Procedimento de Ativação:

Cloudflare "I'm Under Attack" Mode: [passos, e.g., "Dashboard > Security > Under Attack Mode ON"]
Akamai Kona Site Defender: [passos, e.g., "Contactar SOC Akamai, referir contrato, ativar scrubbing center"]
AWS Shield Advanced: [passos, e.g., "DDoS Response Team (DRT) contacta automaticamente se Shield Advanced ativo"]
On-Premises Mitigation: [passos, e.g., "Ativar regras IPS, rate limiting em F5/A10 load balancer"]

7.2.3 Configuração de Rate Limiting

WAF Rules: [configuração, e.g., "Máximo 100 requests/minuto por IP, bloquear se excedido"]
API Rate Limiting: [configuração, e.g., "Ativar throttling 1000 req/min por API key"]
Connection Limits: [configuração, e.g., "Máximo 50 conexões simultâneas por IP source"]

7.3 Monitorização em Tempo Real

7.3.1 Métricas a Monitorizar

Bandwidth Utilization: [normal vs. atual, e.g., "Baseline: 2 Gbps | Atual: 15 Gbps"]
Requests per Second: [normal vs. atual, e.g., "Baseline: 5K RPS | Atual: 120K RPS"]
Connection Count: [normal vs. atual, e.g., "Baseline: 2K conexões | Atual: 50K conexões"]
CPU/Memory Load: [servidores afetados, e.g., "Webservers pool A: CPU 98%, Memory 95%"]
Error Rate: [HTTP 503/504, e.g., "50% das requests resultam em timeout"]

7.3.2 Dashboards e Alertas

Dashboard Primário: [ferramenta, e.g., "Grafana - DDoS Monitoring Dashboard URL"]
NetFlow/sFlow Analysis: [ferramenta, e.g., "SolarWinds NetFlow Analyzer para identificar top talkers"]
Alertas Automáticos: [configuração, e.g., "Slack channel #security-incidents + PagerDuty se traffic > 10 Gbps"]

7.4 Restauro de Serviços

7.4.1 Verificação de Normalização

Critérios de Normalização: [métricas, e.g., "Traffic < 3 Gbps (120% baseline), error rate < 1%, latency < 200ms"]
Período de Observação: [tempo, e.g., "Monitorizar 2 horas após mitigação antes de declarar fim de ataque"]
Testes de Serviço: [ações, e.g., "Testes funcionais de website, API, serviços críticos"]

7.4.2 Comunicação aos Utilizadores

Durante Ataque: [mensagem, e.g., "Estamos a experienciar tráfego elevado. Equipas técnicas a trabalhar na resolução."]
Pós-Restauro: [mensagem, e.g., "Serviços normalizados. Pedimos desculpa pelo inconveniente."]
Canais: [onde, e.g., "Status page, Twitter, email se downtime > 1 hora"]

7.4.3 Post-Mortem Analysis

Tipo de Ataque: [classificação final, e.g., "UDP amplification + HTTP flood combinado"]
Volume Pico: [dados, e.g., "Pico de 80 Gbps, 500K requests/sec"]
Duração Total: [tempo, e.g., "3 horas 45 minutos (14:15 - 18:00)"]
Downtime: [impacto, e.g., "45 minutos de indisponibilidade total, 2 horas de degradação"]
Eficácia de Mitigação: [avaliação, e.g., "Cloudflare bloqueou 98% do tráfego malicioso após ativação"]
Lições Aprendidas: [melhorias, e.g., "Ativar 'Under Attack Mode' mais cedo, aumentar budget CDN para maior capacidade"]

8. Playbook de Insider Threat (Ameaça Interna)

🎯 Objetivo: Procedimentos para responder a ameaças internas, sejam maliciosas (ex-funcionário rancoroso) ou não intencionais (negligência).

📊 Severidade Típica: Média a Crítica (depende do acesso e danos)

⚖️ Considerações Legais: Envolver departamento jurídico ANTES de qualquer ação (proteção de dados pessoais do colaborador, código de trabalho)

8.1 Deteção de Comportamentos Anómalos

8.1.1 User Behavior Analytics (UBA)

Ferramenta UBA/UEBA: [nome, e.g., "Microsoft Defender for Identity, Splunk UBA, Exabeam"]
Baseline de Comportamento: [descrição, e.g., "Padrões normais de horário, recursos acedidos, volume de dados"]
Machine Learning Models: [uso, e.g., "Deteção de anomalias baseada em ML para identificar desvios"]

8.1.2 Indicadores de Insider Threat

Acesso Fora de Horas: [indicador, e.g., "Login às 03:00 AM quando padrão normal é 09:00-18:00"]
Downloads Excessivos: [indicador, e.g., "Download de 50 GB de dados quando média é 100 MB/dia"]
Acesso a Recursos Irrelevantes: [indicador, e.g., "Funcionário de Marketing a aceder a bases de dados financeiras"]
Bypass de Controlos: [indicador, e.g., "Tentativas de desativar logging, uso de ferramentas de evasão"]
Uso de Dispositivos Externos: [indicador, e.g., "Múltiplas transferências para USB drives não autorizados"]
Indicadores Comportamentais: [indicador, e.g., "Descontentamento recente, rescisão anunciada, problemas financeiros pessoais"]

8.2 Preservação de Evidências

8.2.1 Chain of Custody

Documentação Forense: [requisito, e.g., "Registar quem recolheu evidências, quando, onde, como foram preservadas"]
Hash Criptográfico: [ação, e.g., "SHA-256 de todos os ficheiros/imagens forenses para garantir integridade"]
Armazenamento Seguro: [onde, e.g., "Evidências em storage encriptado com acesso restrito a IR Lead + Legal"]

8.2.2 Logs e Capturas Forenses

Logs a Preservar:
- Active Directory/Azure AD: [período, e.g., "Últimos 90 dias de logins, alterações de permissões"]
- File Server Audit Logs: [período, e.g., "Todas as operações de ficheiros (read/write/delete) do utilizador"]
- Email Logs: [período, e.g., "Envio/receção, anexos, forwards para emails externos"]
- VPN/Network Logs: [período, e.g., "Conexões remotas, IPs de origem"]
- DLP Alerts: [período, e.g., "Todos os alertas DLP relacionados com o utilizador"]
Imagem Forense: [ação, e.g., "Captura forense de laptop/desktop do utilizador (dd, FTK Imager)"]
Mobile Device Management: [ação, e.g., "Se MDM ativo, preservar snapshot de dispositivos móveis corporativos"]

8.2.3 Isolamento de Contas/Sistemas

Desativar Conta AD/Azure AD: [ação, e.g., "Desativar (não apagar ainda) para preservar mailbox e files"]
Revogar VPN/Remote Access: [ação, e.g., "Revogar certificados VPN, desativar Citrix/RDP"]
Wipe Remote de Dispositivos Móveis: [se, e.g., "Se dispositivo pessoal com dados corporativos e suspeita de exfiltração"]
Não Alertar Prematuramente: [cuidado, e.g., "Se ainda a investigar, não desativar acesso de forma óbvia para não alertar suspeito"]

8.3 Investigação

8.3.1 Entrevistas

Manager do Suspeito: [questões, e.g., "Comportamento recente, descontentamento, acesso a informação sensível"]
Colegas de Equipa: [questões, e.g., "Observações sobre comportamento anormal, comentários suspeitos"]
Suspeito (se apropriado): [cuidado, e.g., "Apenas com presença de HR/Legal, após autorização jurídica"]

8.3.2 Análise de Atividade

Timeline de Ações: [reconstruir, e.g., "Cronologia de logins, acessos a ficheiros, emails enviados"]
Dados Exfiltrados: [identificar, e.g., "Que ficheiros foram copiados/enviados? Classificação de sensibilidade?"]
Destino de Dados: [investigar, e.g., "Email pessoal? Cloud storage pessoal (Dropbox)? USB? Concorrente?"]
Motivação: [avaliar, e.g., "Maliciosa (revenge, espionagem industrial) vs. não intencional (negligência)?"]

8.3.3 Decisão: Interna vs. Autoridades

Tratar Internamente: [se, e.g., "Negligência não intencional, valor dos dados < X€, sem dano a terceiros"]
Reportar a Autoridades: [se, e.g., "Espionagem industrial, sabotagem, furto de dados sensíveis, danos >X€"]
Entidades a Contactar: [quem, e.g., "Polícia Judiciária (DIAP), CNCS se infraestrutura crítica"]

8.4 Ações Disciplinares e Legais

8.4.1 Suspensão de Acesso

Acesso Físico: [ação, e.g., "Desativar badge de acesso, escoltar até saída se terminação"]
Acesso Lógico: [ação, e.g., "Desativar todas as contas (AD, email, VPN, aplicações)"]
Recuperação de Equipamentos: [ação, e.g., "Recolher laptop, telemóvel corporativo, tokens, cartões"]

8.4.2 Medidas Disciplinares

Advertência: [se, e.g., "Primeira infração não intencional, sem danos significativos"]
Suspensão: [se, e.g., "Infração grave, durante investigação"]
Despedimento com Justa Causa: [se, e.g., "Violação dolosa de políticas, danos à empresa"]
Conformidade Código de Trabalho: [requisito, e.g., "Garantir que processo disciplinar segue código de trabalho português"]

8.4.3 Processo Legal

Ação Cível: [se, e.g., "Recuperação de danos financeiros, violação de NDA"]
Queixa Crime: [se, e.g., "Acesso ilegítimo (Lei do Cibercrime), furto de segredos comerciais"]
Advogado Especializado: [contacto, e.g., "Nome do escritório de advogados, contacto do responsável"]

8.5 Medidas Preventivas

8.5.1 Revisão de Controlos de Acesso

Princípio Least Privilege: [ação, e.g., "Audit de permissões para garantir que utilizadores só têm acessos necessários"]
Segregation of Duties: [ação, e.g., "Separar funções críticas (e.g., quem aprova pagamentos ≠ quem executa)"]
Acesso Privilegiado: [ação, e.g., "Contas admin em PAM (Privileged Access Management), MFA obrigatório"]

8.5.2 Monitorização Adicional

DLP (Data Loss Prevention): [reforçar, e.g., "Políticas DLP para bloquear upload de ficheiros sensíveis para cloud pessoal"]
File Activity Monitoring: [implementar, e.g., "Varonis/Netwrix para auditar acessos a file shares com dados sensíveis"]
Email Monitoring: [reforçar, e.g., "Alertas para envio de >X anexos para email pessoal, keywords sensíveis"]

8.5.3 Formação de Awareness

Políticas Claras: [ação, e.g., "Comunicar claramente políticas de uso aceitável, consequências de violação"]
Formação Regular: [frequência, e.g., "Anual para todos, trimestral para funções de risco (IT, Finance)"]
Offboarding Seguro: [processo, e.g., "Checklist de desativação de acessos imediata na data de saída"]

9. Comunicação e Reporte

🎯 Objetivo: Garantir comunicação eficaz durante incidentes - interna, externa, e cumprimento de obrigações regulatórias NIS2.

⚖️ Requisito NIS2: Notificação obrigatória ao CNCS de incidentes significativos (24h early warning, 72h relatório detalhado, 30 dias relatório final)

9.1 Comunicação Interna

9.1.1 Stakeholders a Notificar

Stakeholder	Quando Notificar	Método	Responsável
Board / Conselho de Administração	Incidentes de severidade Alta ou Crítica	Email + briefing presencial	CISO
CEO	Todos os incidentes Médios ou superiores	Telefone + email	CISO
CFO	Se impacto financeiro estimado > €X	Email	IR Manager
Departamento Jurídico	Data breaches, insider threats, requisitos legais	Telefone + email	CISO
HR (Recursos Humanos)	Insider threats, impacto em colaboradores	Email	IR Manager
Relações Públicas / Comunicação	Se potencial cobertura mediática	Telefone + briefing	CISO
IT Operations	Todos os incidentes que afetem operações	Slack + email	IR Lead

9.1.2 Timing e Templates de Comunicação

Notificação Inicial (15 min): [conteúdo, e.g., "Incidente detetado, severidade preliminar, equipa a investigar"]
Updates Regulares: [frequência, e.g., "A cada 2 horas para incidentes Críticos, diariamente para Médios"]
Comunicação de Resolução: [conteúdo, e.g., "Incidente resolvido, impacto final, próximos passos (post-mortem)"]
Template Email Interno: [estrutura, e.g., "Assunto: [SEVERIDADE] Incidente #ID - Resumo | Corpo: O quê, quando, impacto, ações, next steps"]

9.1.3 Canais Seguros de Comunicação

Canal Primário: [canal, e.g., "Slack channel privado #incident-response-war-room"]
Canal Backup: [canal, e.g., "Microsoft Teams se Slack indisponível"]
Calls de Coordenação: [plataforma, e.g., "Zoom bridge dedicado com passcode, disponível 24/7"]
Cuidados de Segurança: [requisito, e.g., "Não discutir detalhes sensíveis em email não encriptado, evitar SMS"]

9.2 Comunicação Externa

9.2.1 Clientes e Parceiros

Critério de Notificação: [quando, e.g., "Se incidente afetar disponibilidade/segurança de serviços prestados a clientes"]
Timing: [quando, e.g., "Notificar dentro de 4 horas após confirmação de impacto em clientes"]
Conteúdo da Comunicação:
- Natureza do incidente: [nível de detalhe, e.g., "Descrição geral, sem expor vulnerabilidades específicas"]
- Impacto em serviços: [específico, e.g., "Serviço X indisponível, Serviço Y degradado"]
- Medidas tomadas: [ações, e.g., "Sistemas isolados, investigação em curso"]
- Próximos steps: [timeline, e.g., "Previsão de restauro, próximo update em X horas"]
Canal de Comunicação: [como, e.g., "Email aos contactos principais + status page + portal cliente"]

9.2.2 Timing e Messaging

Transparência vs. Segurança: [equilíbrio, e.g., "Ser transparente sobre impacto, mas não expor detalhes que ajudem atacantes"]
Tone de Comunicação: [estilo, e.g., "Profissional, calmo, empático, evitar linguagem alarmista"]
Evitar Especulação: [princípio, e.g., "Comunicar apenas factos confirmados, não especular sobre causas/atacantes"]

9.2.3 FAQ Preparation

Preparar respostas para perguntas frequentes:

"Os meus dados foram comprometidos?" [resposta template]
"O que devo fazer agora?" [resposta template]
"Quando estarão os serviços normalizados?" [resposta template]
"Como isto aconteceu?" [resposta template]
"Que medidas estão a tomar para prevenir recorrência?" [resposta template]

9.3 Reporte Obrigatório CNCS (NIS2)

9.3.1 Critérios de Notificação Obrigatória

Devem ser reportados ao CNCS incidentes que:

Causem Perturbação Grave: [definição, e.g., "Interrupção significativa de serviços essenciais, downtime > X horas"]
Afetem Continuidade de Serviços: [definição, e.g., "Impacto na capacidade de prestar serviços a clientes/utilizadores"]
Causem Danos Financeiros Significativos: [threshold, e.g., "> €X em perdas diretas ou custos de resposta"]
Afetem Outras Entidades/Setores: [critério, e.g., "Incidente com potencial cascata para clientes ou cadeia de fornecimento"]
Comprometam Dados Pessoais: [critério, e.g., "Data breach com >X registos ou dados sensíveis (RGPD)"]

9.3.2 Timelines Obrigatórias NIS2

Fase	Prazo	Conteúdo	Template
Early Warning	24 horas após deteção	Notificação inicial com informação preliminar disponível	📋 Notificação 24h
Incident Report	72 horas após deteção	Relatório detalhado: impacto, severidade, indicadores de compromisso, medidas tomadas	📋 Notificação 72h
Final Report	30 dias após deteção	Relatório final: root cause analysis, ações corretivas, lições aprendidas	📋 Relatório 30 dias

9.3.3 Canais Oficiais de Reporte CNCS

Portal CNCS: [URL, e.g., "https://www.cncs.gov.pt/reporte-incidentes (verificar URL oficial)"]
Email CNCS: [email, e.g., "cert@cncs.gov.pt (verificar email oficial)"]
Telefone CNCS (24/7): [telefone, e.g., "+351 XXX XXX XXX (verificar contacto oficial)"]
Pessoa Responsável Interna: [quem, e.g., "CISO ou IR Manager designado"]

🔗 Templates de Notificação NIS2:

9.4 Comunicação com Media

9.4.1 Porta-Voz Designado

Porta-Voz Primário: [nome, cargo, e.g., "CEO ou Diretor de Comunicação"]
Porta-Voz Técnico: [nome, cargo, e.g., "CISO para questões técnicas"]
Backup: [nome, cargo]
Regra de Ouro: [política, e.g., "APENAS porta-vozes designados falam com media, nenhum outro colaborador"]

9.4.2 Media Statement Templates

Template - Confirmação de Incidente: [mensagem, e.g., "Confirmamos que detetámos um incidente de segurança em [data]. Ativamos imediatamente o nosso plano de resposta..."]
Template - Negação de Especulação: [mensagem, e.g., "Não podemos confirmar ou comentar especulações neste momento. Investigação em curso..."]
Template - Update de Progresso: [mensagem, e.g., "Continuamos a trabalhar com peritos externos. Não há evidência até ao momento de..."]
Template - Encerramento: [mensagem, e.g., "O incidente foi totalmente resolvido. Implementamos medidas adicionais..."]

9.4.3 Crisis Communication Guidelines

Velocidade vs. Precisão: [princípio, e.g., "Responder rapidamente, mas apenas com factos confirmados. Melhor dizer 'estamos a investigar' do que especular"]
Controlar Narrativa: [estratégia, e.g., "Ser proativo, não reativo. Comunicar primeiro antes de media descobrir"]
Empatia: [tone, e.g., "Reconhecer impacto em clientes, pedir desculpa se apropriado, demonstrar comprometimento"]
Evitar Culpabilização: [cuidado, e.g., "Não culpar utilizadores, parceiros, ou atacantes publicamente - focar em soluções"]
Monitorizar Media/Social Media: [ação, e.g., "Monitorizar Twitter, Reddit, fóruns para identificar desinformação e responder"]

10. Post-Incident Review (Análise Pós-Incidente)

🎯 Objetivo: Aprender com cada incidente para melhorar continuamente a capacidade de resposta e prevenir recorrências.

⏱️ Timing: Dentro de 5 dias úteis após encerramento do incidente

👥 Participantes: CSIRT, stakeholders afetados, management relevante

10.1 Timeline do Incidente

10.1.1 Reconstrução Cronológica

Documentar timeline completa do incidente:

Timestamp	Evento	Ação Tomada	Responsável
[data/hora]	[e.g., "Compromisso inicial - phishing email aberto"]	[ação ou N/A se ainda não detetado]	[pessoa/equipa]
[data/hora]	[e.g., "EDR alerta - malware executado"]	[ação tomada]	[pessoa/equipa]
Adicionar linhas conforme necessário para timeline completa...

10.1.2 Decisões Tomadas e Porquê

Decisão Chave #1: [decisão, e.g., "Isolar servidor imediatamente vs. monitorizar atacante"] - Porquê: [razão]
Decisão Chave #2: [decisão e justificação]
Decisão Chave #3: [decisão e justificação]

10.1.3 Tempos de Deteção, Contenção, Recuperação

Time to Detect (TTD): [tempo entre compromisso e deteção, e.g., "48 horas"]
Time to Respond (TTR): [tempo entre deteção e início de resposta, e.g., "15 minutos"]
Time to Contain (TTC): [tempo entre resposta e contenção, e.g., "2 horas"]
Time to Recover (TTRec): [tempo entre contenção e restauro completo, e.g., "12 horas"]
Downtime Total: [tempo de indisponibilidade de serviços, e.g., "6 horas"]

10.2 Root Cause Analysis (RCA)

10.2.1 Causa Raiz Identificada

Causa Raiz Primária: [causa, e.g., "Phishing bem-sucedido devido a falta de formação de awareness em utilizadores"]
Vetor de Ataque: [como, e.g., "Email de phishing com anexo malicioso (.docm com macros)"]
Vulnerabilidade Explorada: [técnico, e.g., "Credenciais de admin reutilizadas + falta de MFA"]

10.2.2 Fatores Contribuintes

Fator #1: [fator, e.g., "Email gateway não bloqueou anexo - filtros desatualizados"]
Fator #2: [fator, e.g., "EDR não instalado em alguns endpoints legacy"]
Fator #3: [fator, e.g., "Logging insuficiente dificultou investigação inicial"]

10.2.3 Falhas de Controlos

Que controlos de segurança falharam ou não existiam?

Controlos Preventivos: [falhas, e.g., "Email filtering, formação de awareness, MFA"]
Controlos Detetivos: [falhas, e.g., "SIEM não tinha regra para detetar padrão específico de ataque"]
Controlos de Resposta: [falhas, e.g., "Playbook de phishing desatualizado, contactos CSIRT incorretos"]

10.3 Lições Aprendidas

10.3.1 O Que Funcionou Bem

Sucesso #1: [exemplo, e.g., "Equipa CSIRT mobilizou em <15 min, excelente coordenação"]
Sucesso #2: [exemplo, e.g., "Backups permitiram restauro rápido sem pagar ransomware"]
Sucesso #3: [exemplo, e.g., "Comunicação clara a stakeholders, evitou pânico"]

10.3.2 O Que Pode Ser Melhorado

Melhoria #1: [área, e.g., "Deteção demorou 48h - precisa de melhores alertas SIEM"]
Melhoria #2: [área, e.g., "Logs de alguns sistemas não disponíveis - expandir logging"]
Melhoria #3: [área, e.g., "Playbook não cobria cenário específico - atualizar"]
Melhoria #4: [área, e.g., "Comunicação externa atrasada - preparar templates pré-aprovados"]

10.3.3 Recomendações Específicas

Recomendação #1: [ação, e.g., "Implementar MFA obrigatório para TODAS as contas em 30 dias"]
Recomendação #2: [ação, e.g., "Realizar simulação de phishing trimestral"]
Recomendação #3: [ação, e.g., "Investir em EDR para 100% de endpoints"]

10.4 Ações Corretivas

10.4.1 Plano de Ação

Ação Corretiva	Responsável	Prazo	Prioridade	Status
[e.g., "Implementar MFA em todas as contas"]	[nome/cargo]	[data]	[Alta/Média/Baixa]	[Planeado/Em Curso/Concluído]
[ação]	[responsável]	[prazo]	[prioridade]	[status]
Adicionar linhas conforme necessário...

10.4.2 Monitorização de Implementação

Responsável por Tracking: [nome, e.g., "IR Manager"]
Frequência de Revisão: [frequência, e.g., "Bi-semanal até todas ações concluídas"]
Reporte a Management: [quando, e.g., "Update mensal ao Board sobre progresso"]

10.4.3 Atualização de Políticas/Procedimentos

Políticas a Atualizar: [quais, e.g., "Política de Passwords (adicionar requisito MFA), Política de Email (requisitos anti-phishing)"]
Playbooks a Atualizar: [quais, e.g., "Playbook de Phishing (adicionar novos indicadores e procedimentos)"]
Responsável por Atualizações: [nome/cargo]
Prazo de Atualização: [data]

11. Testes e Exercícios

🎯 Objetivo: Garantir que o Plano de Resposta a Incidentes é eficaz através de testes regulares, exercícios de simulação, e melhoria contínua.

📋 Requisito NIS2: Entidades essenciais e importantes devem testar regularmente as suas capacidades de gestão de incidentes.

11.1 Programa de Testes

11.1.1 Tabletop Exercises (Exercícios de Mesa)

Frequência: Trimestral
Duração: [tempo, e.g., "2-3 horas"]
Participantes: [quem, e.g., "CSIRT, management, legal, comunicação"]
Objetivos: [o quê, e.g., "Testar processos de decisão, comunicação, coordenação entre equipas"]
Cenários Típicos:
- Ransomware em sistemas críticos
- Data breach de dados de clientes
- Ataque DDoS prolongado
- Insider threat com exfiltração de dados
Facilitador: [interno ou externo, e.g., "CISO ou consultor externo"]

11.1.2 Simulações Técnicas

Frequência: Semestral (2x por ano)
Duração: [tempo, e.g., "1 dia completo"]
Participantes: [quem, e.g., "CSIRT técnico, SOC, IT Ops"]
Objetivos: [o quê, e.g., "Testar capacidades técnicas: deteção, análise, contenção, erradicação"]
Cenários Técnicos:
- Simulação de malware em ambiente isolado
- Análise forense de endpoint comprometido (sandbox)
- Investigação de alerta SIEM complexo
- Restauro de backup após simulação de ransomware
Ambiente: [onde, e.g., "Lab isolado, NUNCA em produção"]

11.1.3 Red Team Assessments

Frequência: Anual
Duração: [tempo, e.g., "2-4 semanas"]
Red Team: [quem, e.g., "Equipa interna ou fornecedor externo especializado"]
Objetivos: [o quê, e.g., "Testar deteção e resposta a ataque realista, identificar blind spots"]
Scope: [âmbito, e.g., "Infraestrutura completa, aplicações web, endpoints"]
Regras de Engagement: [limites, e.g., "Evitar downtime de produção, não exfiltrar dados reais, coordenação com CISO"]
Conhecimento da Blue Team: [anunciado ou não, e.g., "Red team sem aviso (mais realista) ou anunciado (testa capacidades específicas)"]

11.1.4 Purple Team Exercises (Opcional)

Frequência: Opcional, 1-2x por ano
Conceito: [descrição, e.g., "Red team e Blue team colaboram para testar e melhorar deteções"]
Objetivos: [o quê, e.g., "Validar regras SIEM, melhorar playbooks, treinar SOC analysts"]

11.2 Métricas de Eficácia do IR

11.2.1 Key Performance Indicators (KPIs)

Métrica	Target	Atual	Tendência
Mean Time to Detect (MTTD)	[target, e.g., "< 4 horas"]	[atual]	[↑/↓/→]
Mean Time to Respond (MTTR)	[target, e.g., "< 30 minutos"]	[atual]	[↑/↓/→]
Mean Time to Contain (MTTC)	[target, e.g., "< 2 horas"]	[atual]	[↑/↓/→]
Mean Time to Recover (MTTR)	[target, e.g., "< 24 horas"]	[atual]	[↑/↓/→]
% Incidentes Corretamente Classificados	[target, e.g., "> 95%"]	[atual]	[↑/↓/→]
% Ações Corretivas Implementadas no Prazo	[target, e.g., "> 90%"]	[atual]	[↑/↓/→]

11.2.2 Métricas de Testes

Tabletop Exercises Realizados: [número no ano, e.g., "4 (target: 4) ✅"]
Simulações Técnicas Realizadas: [número no ano, e.g., "2 (target: 2) ✅"]
Red Team Assessments: [número no ano, e.g., "1 (target: 1) ✅"]
Score Médio em Exercícios: [score, e.g., "85/100 (target: >80)"]

11.3 Calendário de Testes

11.3.1 Próximos Exercícios Planeados

Data Planeada	Tipo de Teste	Cenário	Responsável	Participantes
[data, e.g., "2025-02-15"]	[tipo, e.g., "Tabletop Exercise"]	[cenário, e.g., "Ransomware em ERP"]	[responsável]	[quem participa]
[data]	[tipo]	[cenário]	[responsável]	[participantes]
Adicionar linhas para calendar anual...

11.3.2 Objetivos de Cada Teste

Q1 Tabletop: [objetivo, e.g., "Testar comunicação com Board durante crise"]
Q2 Simulação Técnica: [objetivo, e.g., "Testar procedimentos de análise forense e chain of custody"]
Q3 Tabletop: [objetivo]
Q4 Red Team: [objetivo, e.g., "Avaliar capacidade de deteção de APT"]

11.4 Melhorias Contínuas

11.4.1 Feedback Loops

Após Cada Exercício: [processo, e.g., "Debrief imediato, documentar lições aprendidas, atualizar plano se necessário"]
Após Cada Incidente Real: [processo, e.g., "Post-mortem obrigatório, ações corretivas tracked até conclusão"]
Feedback de Participantes: [método, e.g., "Questionário anónimo após exercícios para identificar gaps"]

11.4.2 Atualização do Plano

Frequência de Revisão: Semestral (ou após incidente significativo)
Responsável pela Revisão: [cargo, e.g., "IR Manager"]
Aprovação de Alterações: [quem, e.g., "CISO + CFO"]
Distribuição de Versão Atualizada: [como, e.g., "Email a todos CSIRT, publicação em intranet"]
Controlo de Versões: [sistema, e.g., "Versão atual: v2.1 (Jan 2025)"]

11.4.3 Formação Contínua CSIRT

Formação Técnica: [frequência, e.g., "Trimestral - topics: forensics, malware analysis, threat intel"]
Certificações Recomendadas: [quais, e.g., "GCIH, GCFA, GCIA, CISSP"]
Conferências/Webinars: [frequência, e.g., "Participação em pelo menos 2 conferências de segurança por ano"]
Threat Intelligence Updates: [frequência, e.g., "Briefing semanal sobre novas ameaças, TTPs, vulnerabilidades críticas"]

🎯 Calculadora de Severidade de Incidentes

Calcule automaticamente a severidade do incidente com base no impacto CIA e âmbito.

Impacto na Confidencialidade:

Impacto na Integridade:

Impacto na Disponibilidade:

Âmbito (Utilizadores Afetados):

Sensibilidade dos Dados:

⏱️ Rastreador de Timeline do Incidente

Documente cronologicamente todos os eventos e ações durante a resposta ao incidente.

Timestamp:

Descrição do Evento:

Ação Tomada:

Responsável:

Status:

📞 Diretório de Contactos CSIRT

Mantenha atualizada a lista de contactos de emergência 24/7 da equipa CSIRT.

Nome:

Papel:

Telefone 24/7:

Email:

Contacto Backup: