A gestão de incidentes de cibersegurança é a capacidade de detetar, conter, erradicar e recuperar de eventos que comprometam a confidencialidade, integridade ou disponibilidade de sistemas e dados. Em Portugal, as obrigações de notificação estão enquadradas pelo regime jurídico da NIS2 e pelo RGPD — e a capacidade de resposta é um critério crescente nas auditorias de conformidade.
O que é um incidente de cibersegurança
Um incidente de cibersegurança é qualquer evento que comprometa — ou que ameace comprometer — a segurança de redes, sistemas de informação ou dados. Inclui desde acessos não autorizados e infeções por malware, até falhas de disponibilidade, fugas de dados ou sabotagem. A distinção entre evento (ocorrência detetada) e incidente (evento com impacto confirmado ou potencial significativo) é fundamental para a triagem e priorização.
Classificação de incidentes
| Categoria | Exemplos | Criticidade típica |
|---|---|---|
| Acesso não autorizado | Intrusão, escalada de privilégios, conta comprometida | Alta a Crítica |
| Malware | Ransomware, spyware, trojan, wiper | Alta a Crítica |
| Negação de serviço (DoS/DDoS) | Indisponibilidade de serviços web, infraestrutura crítica | Média a Alta |
| Fuga de dados | Exfiltração de dados pessoais, financeiros ou estratégicos | Alta a Crítica |
| Phishing/BEC | Comprometimento de e-mail, fraude financeira interna | Média a Alta |
| Vulnerabilidade explorada | Exploração de CVE em sistemas expostos | Variável |
| Insider threat | Ação maliciosa ou negligente por colaborador interno | Alta |
Fases da resposta a incidentes
- 1. Preparação: Definir o plano de resposta a incidentes (IRP), constituir a equipa de resposta (CSIRT/IRT), criar runbooks por tipo de incidente, testar regularmente através de exercícios (tabletop).
- 2. Identificação e triagem: Detetar o incidente (SIEM, alertas, utilizadores), classificar a severidade, determinar o âmbito e ativar o nível de resposta adequado.
- 3. Contenção: Isolar sistemas afetados sem destruir evidências; implementar contenção a curto prazo (ex: bloquear IP, desligar da rede) e a longo prazo (ex: reconstruir sistema comprometido).
- 4. Erradicação: Remover a causa raiz — eliminar malware, revogar acessos comprometidos, aplicar patches nas vulnerabilidades exploradas.
- 5. Recuperação: Restaurar sistemas a partir de backups limpos, verificar integridade, monitorizar intensivamente para detetar reinfecção.
- 6. Lições aprendidas: Elaborar relatório pós-incidente, identificar falhas nos controlos, atualizar o IRP e as defesas.
Obrigações de notificação em Portugal
| Regime | Entidade notificada | Prazo | Quem é obrigado |
|---|---|---|---|
| NIS2 (Lei 65/2021) | CNCS | Alerta em 24h; relatório inicial em 72h; final em 1 mês | Entidades essenciais e importantes (energia, saúde, transportes, TIC, etc.) |
| RGPD (Regulamento UE 2016/679) | CNPD | 72 horas após conhecimento | Todos os responsáveis pelo tratamento de dados pessoais |
| Setor financeiro (DORA) | Autoridade competente (Banco de Portugal, ASF, CMVM) | Alerta em 4h; intermédio em 72h; final em 1 mês | Entidades financeiras abrangidas pelo DORA |
Indicadores de maturidade na resposta
- MTTD (Mean Time to Detect): Tempo médio entre o início do ataque e a sua deteção — objetivo: horas, não dias.
- MTTR (Mean Time to Respond): Tempo médio entre a deteção e a contenção — quanto mais baixo, menor o impacto.
- Taxa de falsos positivos: Alta taxa indica necessidade de ajuste nas regras de deteção.
- Cobertura de runbooks: Percentagem de tipos de incidente com playbook documentado e testado.
Recursos úteis
- CERT.PT — Reportar um incidente — portal de notificação nacional
- CNCS — Notificação de Incidentes NIS2 — guia e formulário NIS2
- CNPD — Notificação de violação de dados — obrigação RGPD
- ENISA — Incident Response — guias europeus de boas práticas
- NIST SP 800-61r2 — guia de referência para resposta a incidentes