Vazamento de dados: as primeiras 72 horas
As primeiras horas de um incidente definem o tamanho do prejuízo. Um playbook objetivo para conter, investigar e notificar.
Um vazamento de dados não é o pior dia da sua empresa — o pior dia é o que vem depois, quando fica claro que ninguém sabia o que fazer nas primeiras horas. A diferença entre um incidente contornável e uma crise de reputação está quase sempre nas decisões tomadas nas primeiras 72 horas.
Este é o playbook que recomendamos aos nossos clientes. Imprima, adapte ao seu contexto e guarde onde a equipe encontre sob pressão.
Hora 0–1: confirme antes de reagir
O primeiro erro é agir com base em boato. Antes de qualquer comunicado:
- Valide o indício. Um alerta de SIEM, um e-mail de pesquisador ou um post em fórum não são prova. Confirme tecnicamente o que vazou e de onde.
- Acione o time mínimo. Segurança, infraestrutura, jurídico/DPO e uma liderança com poder de decisão. Mais gente nessa fase atrapalha.
- Abra um canal único de registro. Tudo que for descoberto entra ali, com horário. Esse log será essencial para a notificação e para auditoria.
Hora 1–6: contenha sem destruir evidência
Conter é parar o sangramento. Mas cuidado: desligar tudo destrói a evidência que você vai precisar para entender o ataque.
- Isole os sistemas afetados da rede em vez de desligá-los.
- Revogue credenciais e tokens potencialmente comprometidos.
- Force logout global e rotacione segredos (chaves de API, senhas de serviço).
- Preserve imagens de disco e logs antes de qualquer limpeza.
[ERRADO] "Formata o servidor e sobe de novo" → evidência perdida
[CERTO] "Isola, snapshot, depois investiga" → evidência preservada
Hora 6–24: descubra o escopo real
A pergunta que define tudo: quais dados, de quantos titulares, e de que tipo?
- Dados pessoais comuns (nome, e-mail) têm impacto diferente de dados sensíveis (saúde, biometria, financeiro).
- Determine se houve acesso ou apenas exposição — são gravidades distintas.
- Mapeie vetor de entrada, tempo de permanência do atacante e movimento lateral.
Sem esse escopo, qualquer comunicado será impreciso — e comunicar errado é pior do que comunicar tarde.
Hora 24–72: a obrigação legal
A LGPD (art. 48) exige comunicação à ANPD e aos titulares afetados em prazo razoável quando há risco ou dano relevante. A ANPD orienta como referência um prazo de 2 dias úteis a partir da ciência.
Sua comunicação precisa conter, no mínimo:
- A descrição da natureza dos dados afetados;
- Os titulares envolvidos (número e categorias);
- As medidas técnicas adotadas para proteção;
- Os riscos relacionados e as medidas de mitigação.
Não tente minimizar o ocorrido no comunicado. Subnotificar é infração adicional — e mina a confiança que você está tentando preservar.
Depois das 72 horas: o que separa os maduros
- Post-mortem sem culpados. O objetivo é a causa-raiz, não o responsável.
- Vire achado em detecção. Toda lacuna explorada deve gerar uma regra de monitoramento ou um controle novo.
- Teste o playbook antes do próximo. Um tabletop exercise por semestre vale mais que dez documentos perfeitos guardados na gaveta.
A verdade incômoda
A maioria das empresas só escreve o playbook depois do primeiro incidente. Se você está lendo isto sem ter passado por um, está à frente — use essa vantagem. Uma simulação de resposta a incidente custa uma fração do que custa improvisar no dia real.
