Um ataque acontece. Os sistemas caem. O telefone do CEO não para de tocar. O time de TI está em pânico, o jurídico quer saber o que comunicar, e ninguém sabe ao certo o tamanho do estrago. Essa cena se repete com frequência alarmante no Brasil — e a maioria das empresas ainda descobre, da pior forma possível, que não estava preparada para responder.

Em 2023, o Brasil foi o segundo país mais atacado da América Latina, com mais de 60 bilhões de tentativas de ataques cibernéticos registradas, segundo o relatório da Fortinet. Empresas de todos os setores — do varejo ao financeiro — foram afetadas. Mas o que diferencia as organizações que saem de um incidente com reputação intacta daquelas que viram crises virarem escândalos não é a ausência de ataques: é a capacidade de resposta.

Este artigo é para executivos que precisam entender o que fazer quando um incidente acontece — não apenas do ponto de vista técnico, mas estratégico, comunicacional e organizacional. E principalmente: o que mudar depois para que o próximo ataque não cause o mesmo estrago.

O que é um incidente cibernético do ponto de vista executivo

Antes de falar em resposta, é preciso alinhar o conceito. Para o time de TI, um incidente pode ser qualquer anomalia técnica. Para um executivo, o que importa é o impacto ao negócio: sistemas críticos indisponíveis, dados de clientes expostos, operações paralisadas, obrigações regulatórias descumpridas.

A diferença de perspectiva importa porque define como a liderança vai se comportar durante a crise. Um CEO que entende que seu papel não é "resolver o técnico", mas sim tomar decisões de negócio sob pressão — comunicar stakeholders, acionar seguradoras, acionar o jurídico, decidir sobre continuidade operacional — responde de forma muito mais eficaz.

Incidentes comuns no mercado brasileiro incluem:

  • Ransomware: sequestro de dados e sistemas com exigência de resgate. Afetou empresas como Renner, Porto Seguro e JBS nos últimos anos
  • Vazamento de dados: exposição de bases de clientes, com implicações diretas na LGPD
  • Ataques de negação de serviço (DDoS): derrubada de plataformas digitais, comum no setor financeiro
  • Comprometimento de contas privilegiadas: acesso indevido de atacantes a sistemas internos via credenciais roubadas

Cada tipo de incidente tem um vetor de impacto diferente, mas todos exigem a mesma coisa: uma resposta estruturada, rápida e coordenada.

As primeiras horas: o que fazer (e o que não fazer)

As primeiras horas de um incidente são as mais críticas — e as mais propensas a erros. O instinto de "resolver logo" pode piorar a situação. Já vi empresas destruírem evidências forenses ao tentar apagar traços de um ataque, comprometendo qualquer possibilidade de investigação posterior.

A sequência correta para a liderança executiva nas primeiras horas é:

  • Confirmar e classificar o incidente: antes de qualquer ação, é preciso entender o escopo. O problema está isolado ou se espalhou? Quais sistemas estão afetados? Há dados sensíveis envolvidos?
  • Acionar o time de resposta: isso inclui TI/segurança, jurídico, comunicação e, dependendo do porte, o CISO (Chief Information Security Officer). Se a empresa não tiver um, é hora de acionar um parceiro externo especializado
  • Preservar evidências: não desligue servidores, não apague logs, não "limpe" nada sem orientação técnica. Evidências são essenciais para investigação forense e processos legais
  • Isolar, não apagar: o objetivo inicial é conter o incidente — impedir que ele se espalhe — não necessariamente restaurar tudo de imediato
  • Comunicação interna controlada: defina quem fala o quê e com quem. Vazamentos internos mal gerenciados viram vazamentos para a imprensa
O maior erro que vejo executivos cometerem em um incidente é tentar gerenciar tudo ao mesmo tempo. O papel da liderança é tomar as decisões que só a liderança pode tomar — e delegar o restante para quem sabe fazer.

O que não fazer: comunicar publicamente antes de entender o escopo real do problema, negociar com atacantes sem orientação jurídica e técnica, ou pior, ignorar o incidente esperando que "se resolva sozinho".

Gestão de crise cibernética: o papel do executivo na comunicação

A gestão de crise cibernética tem uma dimensão que vai muito além da tecnologia: a comunicação. E aqui os executivos precisam estar à frente, não atrás.

A LGPD (Lei Geral de Proteção de Dados) estabelece que incidentes que possam acarretar risco ou dano relevante aos titulares devem ser notificados à ANPD e aos próprios titulares em prazo razoável. Ignorar essa obrigação não é apenas um risco reputacional — é um risco legal com multas que podem chegar a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.

A comunicação durante um incidente deve seguir três princípios:

  • Transparência calibrada: comunicar o que é sabido, sem especular sobre o que não é. Afirmações precipitadas sobre "nenhum dado foi vazado" que depois se provam falsas destroem a credibilidade da liderança
  • Velocidade responsável: a comunicação precisa ser rápida o suficiente para controlar a narrativa, mas precisa de informações mínimas verificadas antes de sair
  • Consistência de canais: definir um porta-voz único para cada audiência — imprensa, clientes, reguladores, conselho — e garantir que todos falem a mesma mensagem

Empresas que comunicaram incidentes com clareza e proatividade — como fez o Nubank em situações de instabilidade técnica — saíram com reputação preservada ou até fortalecida. Empresas que tentaram esconder ou minimizar pagaram um preço muito mais alto.

O plano de resposta a incidentes que toda empresa deveria ter

Um plano de resposta a incidentes não é um documento técnico guardado em uma gaveta da TI. É um protocolo executivo que define quem faz o quê, quando e como — em qualquer cenário de crise cibernética.

Um plano eficaz para empresas de médio e grande porte deve contemplar:

  • Critérios de classificação de incidentes: o que é um incidente de nível 1 (baixo impacto, resolução técnica) versus nível 3 (impacto crítico ao negócio, aciona a liderança)?
  • Matriz de responsabilidades (RACI): quem é responsável por cada decisão — técnica, jurídica, comunicacional — em cada nível de incidente
  • Contatos de emergência: lista atualizada de fornecedores de segurança, advogados especializados em LGPD, seguradoras de cyber risk e parceiros de comunicação de crise
  • Procedimentos de contenção e recuperação: passos técnicos para isolar sistemas comprometidos e ativar planos de continuidade de negócio
  • Roteiro de comunicação: templates de mensagem para cada audiência — clientes, imprensa, ANPD, reguladores setoriais como o Banco Central
  • Protocolo de documentação: como registrar todas as decisões e ações tomadas durante o incidente, essencial para análise forense e defesa legal

O plano precisa ser testado regularmente através de simulações — os chamados "tabletop exercises" — onde a liderança pratica o processo antes que o cenário real aconteça. Empresas do setor financeiro, como os grandes bancos que atendo, fazem isso trimestralmente. Para a maioria das empresas brasileiras, uma vez por ano já seria um salto significativo.

Pós-incidente: o que analisar e o que mudar

A crise passou. Os sistemas voltaram. A tentação é "fechar o capítulo" e seguir em frente. Esse é o segundo maior erro que as empresas cometem — o primeiro foi não estar preparado.

O pós-incidente é, paradoxalmente, a fase mais valiosa do ciclo de segurança. É quando a empresa tem clareza sobre suas vulnerabilidades reais — não as teóricas de um relatório de auditoria, mas as que foram efetivamente exploradas por um atacante real.

Uma análise pós-incidente eficaz deve responder:

  • Como o atacante entrou? Qual foi o vetor inicial de comprometimento — phishing, vulnerabilidade de sistema, credencial vazada, fornecedor terceirizado?
  • Por quanto tempo o atacante esteve dentro antes de ser detectado? O tempo médio de permanência de atacantes em redes corporativas ainda é superior a 200 dias globalmente. Cada dia a mais amplia o impacto
  • O que o plano de resposta previu corretamente? O que falhou? Sem essa honestidade, o plano nunca melhora
  • Quais controles técnicos teriam detectado ou impedido o ataque mais cedo?
  • Há gaps de treinamento humano? A maioria dos incidentes começa com um erro humano — um clique em phishing, uma senha reutilizada

As mudanças que geralmente emergem de uma análise honesta incluem investimentos em monitoramento contínuo (SOC — Security Operations Center), implementação de arquiteturas Zero Trust, revisão de acessos privilegiados, e — frequentemente — contratação ou capacitação de liderança dedicada à segurança.

Resiliência cibernética como vantagem competitiva

Existe uma mudança de mentalidade fundamental que precisa acontecer nas boardrooms brasileiras: segurança da informação não é um custo de TI. É uma capacidade estratégica de negócio.

Empresas que investem em resiliência cibernética — a capacidade de resistir, adaptar e recuperar de incidentes — têm vantagens concretas e mensuráveis. Menores prêmios em seguros de cyber risk. Maior facilidade em processos de due diligence para M&A. Acesso a contratos com grandes corporações e órgãos públicos que exigem certificações como ISO 27001. E, cada vez mais, diferencial de confiança com clientes e parceiros que se preocupam com onde seus dados estão.

O custo médio de um vazamento de dados no Brasil chegou a R$ 6,75 milhões em 2023, segundo o relatório anual da IBM Security. Esse número não inclui danos reputacionais, perda de clientes ou custos operacionais indiretos. Quando comparado com o investimento em uma estrutura de segurança robusta, o ROI da prevenção e da resiliência se torna evidente.

A pergunta que faço para os executivos com quem trabalho não é "quanto você quer gastar em segurança?". É: "quanto você pode perder sem estar preparado?" A resposta, quase sempre, muda a conversa.

O que fazer agora, antes que o incidente aconteça

Se você chegou até aqui, provavelmente reconheceu gaps na sua organização. A boa notícia é que preparação é uma escolha. A má notícia é que ela precisa acontecer antes da crise, não durante.

Três ações que qualquer executivo pode iniciar esta semana:

  • Pergunte ao seu time de TI: "Temos um plano de resposta a incidentes documentado e testado?" Se a resposta for hesitante, você tem um problema
  • Verifique sua cobertura de seguro: você tem um seguro de cyber risk? Ele cobre os cenários mais prováveis para o seu setor? Muitos executivos descobrem as lacunas na hora do sinistro
  • Mapeie seus ativos críticos: quais sistemas, dados e processos, se comprometidos, causariam dano inaceitável ao negócio? A proteção deve ser proporcional ao risco — e você precisa saber o que proteger primeiro

Incidentes cibernéticos não são uma questão de "se" — são uma questão de "quando". O que está completamente sob controle da liderança é o nível de preparação com que a organização vai enfrentar esse momento. Empresas que tratam segurança como prioridade estratégica não eliminam os riscos, mas transformam incidentes em eventos gerenciáveis, não em crises existenciais.

Se você quer avaliar a maturidade de resposta a incidentes da sua organização ou estruturar um plano de resiliência cibernética adequado ao seu contexto e setor, entre em contato. Tenho ajudado lideranças de empresas como BTG, B3, Inter e outros a transformar segurança em capacidade estratégica — e posso fazer o mesmo pela sua organização.