Quando um incidente de cibersegurança acontece, as primeiras horas são críticas. A forma como a sua empresa reage nas primeiras 24 horas determina frequentemente a diferença entre um problema contido e uma catástrofe. A boa notícia é que uma resposta eficaz não exige uma equipa de especialistas — exige preparação antecipada e um plano claro para seguir sob pressão.
Este guia dá-lhe os passos concretos a seguir se a sua empresa for alvo de um ciberataque. E se quiser estar preparado antes que aconteça, o nosso Guia de Cibersegurança para PMEs inclui um modelo de plano de resposta a incidentes.
O Que Conta Como Incidente de Cibersegurança?
Um incidente de cibersegurança é qualquer evento que comprometa ou ameace comprometer a confidencialidade, integridade ou disponibilidade dos sistemas e dados da sua empresa. Exemplos: ransomware que cifra os seus ficheiros, phishing que resulta em acesso às contas de e-mail, dados de clientes acedidos por terceiros não autorizados, um colaborador que envia informação confidencial para o destinatário errado, ou a descoberta de malware num computador da empresa.
Fase 1 — Detecção e Contenção Imediata (Minutos a Horas)
Passo 1: Não entre em pânico — mas aja rapidamente
A pressão psicológica num incidente é elevada. Respire fundo e siga o plano. A maior parte dos erros na resposta a incidentes acontece por agir de forma apressada e não coordenada.
Passo 2: Isole os sistemas afectados
Se identificar um computador comprometido (comportamento anómalo, mensagem de ransomware, acesso suspeito), desconecte-o da rede imediatamente — retire o cabo de rede ou desligue o Wi-Fi. Não desligue o computador, pois isso pode destruir evidências em memória que são úteis para a investigação. Se o ataque estiver activo e a propagar-se, pode ser necessário desligar toda a rede temporariamente.
Passo 3: Active a equipa de resposta
Notifique as pessoas certas: o responsável de IT (interno ou externo), a gestão de topo, e — se tiver — o seu prestador de serviços de cibersegurança. Documente desde o início: hora de detecção, sistemas afectados, sintomas observados.
Passo 4: Preserve as evidências
Tire capturas de ecrã de mensagens de erro, alertas ou comunicações dos atacantes. Guarde os logs dos sistemas afectados se conseguir. Estas evidências são importantes para a investigação e podem ser exigidas por seguradoras ou autoridades.
Fase 2 — Avaliação e Notificação (Horas a 24h)
Passo 5: Avalie o âmbito do incidente
Que sistemas foram afectados? Que dados podem ter sido comprometidos? O ataque ainda está activo ou está contido? Existe acesso não autorizado ainda activo a sistemas ou contas? Esta avaliação determina a urgência e o tipo de resposta necessária.
Passo 6: Notifique as entidades competentes
CNCS: O Centro Nacional de Cibersegurança deve ser notificado em incidentes que afectem infraestruturas críticas ou entidades abrangidas pela NIS2. Contacto: cert@cncs.gov.pt ou cncs.gov.pt.
CNPD: Se existir violação de dados pessoais (acesso não autorizado a dados de clientes ou colaboradores), tem 72 horas para notificar a Comissão Nacional de Protecção de Dados, conforme exige o RGPD. Leia o nosso guia RGPD para perceber as suas obrigações.
PSP/PJ: Em caso de crime informático (ransomware, fraude, acesso não autorizado), apresente queixa na Polícia de Segurança Pública ou Polícia Judiciária.
Banco: Se existir risco de comprometimento de dados financeiros ou contas bancárias, notifique o banco imediatamente para bloquear transações suspeitas.
Fase 3 — Erradicação e Recuperação (Dias)
Passo 7: Elimine a ameaça
Não restaure sistemas comprometidos sem primeiro garantir que a ameaça foi eliminada. Um sistema restaurado para um ambiente ainda comprometido será re-infectado rapidamente. Identifique como o atacante entrou (vulnerabilidade explorada, credenciais comprometidas, phishing) e corrija antes de restaurar.
Passo 8: Restaure a partir de backups limpos
Recupere os dados e sistemas a partir dos backups mais recentes anteriores ao incidente. Verifique a integridade dos backups antes de restaurar — e confirme que os backups não foram também comprometidos. Esta é a razão pela qual os backups offline e o teste regular são fundamentais. Ver o nosso guia de backup para empresas.
Passo 9: Reponha credenciais e acessos
Altere todas as palavras-passe de sistemas e contas que possam ter sido comprometidas. Revogue tokens de acesso, sessões activas e certificados. Active o 2FA em todos os sistemas se ainda não estava activo.
Fase 4 — Análise Pós-Incidente (Semanas)
Passo 10: Documente e aprenda
Após a recuperação, realize uma análise de causa raiz: como entrou o atacante, o que facilitou a propagação, o que falhou na detecção. Documente o incidente, a resposta e as lições aprendidas. Actualize o plano de resposta a incidentes com base no que aprendeu.
O Erro Mais Comum: Não Ter Plano
A maioria das PMEs portuguesas não tem um plano de resposta a incidentes documentado. Quando o ataque acontece, a equipa improvisa sob pressão — e isso custa tempo e dinheiro. Um plano não precisa de ser extenso: uma página A4 com os contactos certos e os passos principais já faz diferença.
Prepare hoje. Os ataques não avisam com antecedência.
Leave a Reply