Artigos 03.02.26

A sua empresa está preparada para lidar com um incidente de segurança da informação? 

No atual panorama, a cibersegurança consolidou-se como um dos maiores desafios de […]

No atual panorama, a cibersegurança consolidou-se como um dos maiores desafios de governança para as empresas brasileiras. O país ocupa a posição de segundo país mais visado por malwares no mundo, registrando uma média alarmante de 3.940 tentativas de ataques por semana por organização. Com uma projeção de 509 bilhões de tentativas de ataques em território nacional apenas este ano, a questão não é mais se uma empresa será alvo, mas quão resiliente ela será quando o incidente ocorrer.  

Ao final deste artigo, você encontra um check-list para saber se sua organização está ou não prepara para responder a um incidente de segurança da informação.  

1. O que é um Incidente de Segurança da Informação? 

Um incidente de segurança da informação é definido pela norma ISO/IEC 27001 como qualquer evento indesejado ou inesperado que tenha probabilidade significativa de comprometer as operações de negócio. Sob a ótica da regulação brasileira, a Resolução CD/ANPD nº 15/2024 define incidente com dados pessoais como qualquer evento adverso confirmado que viole as propriedades de confidencialidade, integridade ou disponibilidade. A segurança moderna fundamenta-se na tríade CID: 

Dimensão da Segurança Descrição do Ativo Protegido Consequência da Violação (Incidente) 
Confidencialidade Garantia de que a informação é acessível apenas por quem tem autorização legítima. Vazamento de dados sensíveis, segredos industriais ou informações financeiras de clientes. 
Integridade Salvaguarda da exatidão e completude da informação e dos métodos de processamento. Alteração indevida de registros contábeis, modificação de bases de dados de saúde ou manipulação de saldos bancários. 
Disponibilidade Garantia de que os usuários autorizados tenham acesso à informação quando necessário. Interrupção de serviços por ataques DDoS, sequestro de sistemas por ransomware ou falha catastrófica de hardware. 

2. Principais riscos inerentes ao negócio  

Os incidentes de segurança geram impactos multidimensionais que podem paralisar ou extinguir uma operação comercial, sendo os mais comuns:  

  • Risco Financeiro e Operacional: O custo global do cibercrime deve atingir US$ 10,5 trilhões em 2025. No Brasil, casos reais demonstram prejuízos massivos: o ataque ao Grupo Jorge Batista, por exemplo, resultou em perdas estimadas em R$ 400 milhões devido à interrupção de vendas e rompimento de contratos. Além do resgate (ransomware), existem custos ocultos com investigação forense, restauração de backups e lucros cessantes.    
  • Risco Reputacional e Confiança Digital: Vazamentos de dados quebram a “expectativa legítima de proteção” do consumidor. A exposição de dados financeiros, mesmo que não classificados estritamente como “sensíveis” pela lei, gera insegurança e compromete a autodeterminação informativa do titular, afastando investidores e clientes.    
  • O Risco Emergente – IA no Topo do Ranking: Pela primeira vez, a Inteligência Artificial assumiu o topo do ranking de riscos empresariais no Brasil (32% de citações no Allianz Risk Barometer). A IA tem sido usada maliciosamente para automatizar o desenvolvimento de malwares, criar conteúdos sintéticos (deepfakes) para phishing altamente realista, escalar ataques de engenharia social, tornando as defesas tradicionais insuficientes, entre outros.  

3. Conformidade com a LGPD e Segurança Informacional  

A conformidade com a Lei Geral de Proteção de Dados (LGPD) é uma estratégia de prevenção de danos. Ela impõe o dever de accountability (prestação de contas), obrigando controladores a adotarem medidas técnicas e administrativas aptas a proteger os dados desde a concepção de sistemas (Privacy by Design).    

A presença de um Encarregado (DPO) e a realização de Relatórios de Impacto à Proteção de Dados (RIPD) permitem que a empresa identifique vulnerabilidades antes que sejam exploradas. A gestão de riscos proativa é, hoje, o principal diferencial competitivo para manter a continuidade dos negócios no mercado digital.    

Ao exigir medidas de segurança compatíveis com o estado da técnica, a LGPD impulsiona as empresas a modernizarem suas infraestruturas. Isso inclui a implementação de criptografia, controle de acesso baseado no princípio do privilégio mínimo, autenticação multifator (MFA) e processos rigorosos de backup. Para pequenas e médias empresas, a conformidade auxilia na organização de processos que, antes negligenciados, agora tornam-se diferenciais competitivos e garantias de sobrevivência no mercado. 

4. Principais tipos de incidentes e vetores de ataque nos últimos anos 

A sofisticação das ameaças nos últimos anos reflete uma profissionalização do cibercrime. Os ataques não são mais aleatórios, mas sim campanhas orquestradas que visam ganhos financeiros diretos por meio da extorsão e do roubo de dados.    

  • Ransomware e Extorsão Dupla: O ransomware continua sendo a ameaça mais devastadora. Evoluindo do simples sequestro de arquivos, os criminosos agora utilizam a “extorsão dupla”: além de criptografar os dados para paralisar a operação, eles exfiltram informações sensíveis e ameaçam publicá-las em sites de vazamento caso o resgate não seja pago. O modelo Ransomware-as-a-Service (RaaS) democratizou esses ataques, permitindo que agentes com pouco conhecimento técnico aluguem ferramentas sofisticadas em troca de uma comissão sobre os lucros ilegais. No primeiro semestre de 2025, 52% dos incidentes analisados pela Microsoft foram impulsionados por extorsão ou ransomware.    
  • Phishing e Engenharia Social com IA: O phishing evoluiu para o uso de inteligência artificial para criar comunicações altamente personalizadas e convincentes. O Business Email Compromise (BEC) — ou comprometimento de e-mail corporativo — repetiu o posto de vetor de entrada mais comum em 2025. Criminosos assumem o controle de contas de e-mail legítimas para enganar funcionários e autorizar transferências bancárias fraudulentas. No Reino Unido, fraudes de desvio de pagamentos representaram 57% dos ataques reportados em 2024, evidenciando a eficácia dessa técnica contra organizações despreparadas.    
  • Vulnerabilidades em Infraestrutura e Cadeia de Suprimentos: A exploração de falhas de segurança conhecidas (CVEs) em sistemas não atualizados continua sendo uma porta aberta. Em 2025, o Brasil registrou uma média de 3.940 tentativas de ataques por semana por organização, muitas delas buscando vulnerabilidades em VPNs sem autenticação de dois fatores ou em softwares de uso comum sem o devido gerenciamento de patches. Ataques à cadeia de suprimentos também ganharam relevância, onde o comprometimento de um fornecedor externo resulta no acesso indevido às bases de dados de seus clientes, como observado no incidente da XP Investimentos. 

5. Procedimento legal em caso de incidente e jurisprudência do STJ sobre responsabilidade civil  

Em caso de incidente, a empresa deve seguir um rito jurídico rigoroso para evitar sanções que podem chegar a 2% do faturamento ou R$ 50 milhões por infração, dentre os quais a notificação obrigatória. O controlador deve comunicar à ANPD e aos titulares em caso de risco ou dano relevante. A Resolução 15/2024 estabelece o prazo de 3 dias úteis, contados do conhecimento do incidente. A notificação deve descrever a natureza dos dados, medidas de proteção adotadas e planos de mitigação.    

Em relação à responsabilidade civil das empresas em razão de incidentes de segurança da informação, o STJ, no julgamento do REsp 2.147.374/SP, decidiu que invasões externas não configuram “ato de terceiro” para afastar a responsabilidade da empresa. O risco da atividade pertence ao controlador.  Além disso, o repasse ou vazamento de dados sem comunicação prévia ou base legal viola direitos da personalidade, gerando indenização por dano moral mesmo sem prova de prejuízo material imediato.  

6. Check-list de maturidade e exposição a incidentes 

Para verificar o grau de exposição da sua empresa, utilize os tópicos abaixo baseados nos frameworks NIST, ISO 27001 e nas recomendações da ANPD.    

I. Governança e Estratégia 

  • [ ] Políticas Formalizadas: Existe uma Política de Segurança da Informação (PSI) e uma Política de Privacidade atualizadas e aprovadas pela diretoria?     
  • [ ] Encarregado (DPO): Foi nomeado um DPO e seus dados de contato estão publicados no site da empresa?     
  • [ ] Inventário de Dados: A empresa possui um mapeamento completo de quais dados pessoais trata, para qual finalidade e onde estão armazenados?     
  • [ ] Gestão de Terceiros: Os contratos com fornecedores de TI e nuvem possuem cláusulas de segurança e responsabilidade por incidentes?     

II. Proteção Técnica e Ativos 

  • [ ] Inventário de Ativos: Todos os computadores, servidores e dispositivos móveis da empresa estão inventariados e monitorados?     
  • [ ] Autenticação Multifator (MFA): O MFA está habilitado para todos os acessos a e-mails corporativos, VPNs e sistemas em nuvem?     
  • [ ] Gestão de Vulnerabilidades: Existe um processo de atualização (patching) semanal para corrigir falhas em sistemas operacionais e aplicações?     
  • [ ] Controle de Acessos: A empresa aplica o princípio do privilégio mínimo (colaboradores acessam apenas o necessário para sua função)?     

III. Detecção e Resposta 

  • [ ] Monitoramento de Logs: A empresa coleta e analisa logs de acesso para detectar atividades suspeitas ou logins não autorizados?     
  • [ ] Plano de Resposta a Incidentes (PRI): Existe um plano documentado com os passos a serem seguidos após a detecção de um ataque, incluindo a notificação à ANPD?     
  • [ ] Backups Imutáveis: Os backups são realizados diariamente, mantidos fora da rede principal e protegidos contra alteração (imutabilidade)?     
  • [ ] Treinamento de Pessoas: Os funcionários passam por treinamentos periódicos para reconhecer tentativas de phishing e golpes de engenharia social?     

IV. Avaliação de Conformidade Legal 

  • [ ] Registro de Incidentes: A empresa mantém um registro histórico de todos os incidentes de segurança (mesmo os pequenos) por pelo menos 5 anos?     
  • [ ] Relatório de Impacto (RIPD): Foram realizados relatórios de impacto para operações que envolvam dados sensíveis ou alto risco?     
  • [ ] Testes de Invasão: São realizados testes anuais de invasão (pentests) para identificar brechas antes que criminosos as encontrem?   

7. E agora? 

A resiliência digital na atualidade não é uma conquista estática, mas um processo de melhoria contínua. Para que uma empresa esteja verdadeiramente preparada, dois pilares são fundamentais nas considerações de qualquer diretoria. 

Primeiramente, a estruturação de um Plano de Resposta a Incidentes (PRI) robusto e testado. Ele é o que separa uma interrupção temporária de uma falência operacional. Em um ambiente onde o cibercrime é automatizado pela IA, a capacidade de conter um ataque em minutos, e não em dias, é o que garante a sobrevivência financeira.    

Em segundo lugar, a figura do DPO (Encarregado da Proteção de Dados) deve ser elevada ao nível estratégico. O DPO não é apenas um consultor de conformidade, mas o peça-chave na gestão do incidente. Ele atua como o elo de confiança entre a empresa, a ANPD e os titulares de dados, garantindo que as comunicações legais sejam feitas no prazo de 3 dias e que a mitigação de danos morais seja priorizada.    

Investir nessas duas frentes — um plano de ação técnico (PRI) e uma liderança de conformidade (DPO) — é a única forma de transformar a segurança da informação de um risco latente em um diferencial competitivo de mercado. 

Aqui na Sotto Maior & Nagel Advogados Associados contamos com um time de experts no Núcleo de Direito Digital, pronto para dar suporte à adequação do seu negócio à LGPD, com foco em reduzir gargalos operacionais na gestão de dados e maximizar a eficiência da sua empresa em todo o ciclo vital da governança dos seus dados estratégicos.  

Avatar Matheus Oliveira

Por

Matheus Oliveira

Assine e receba nossas notícias

    Ao assinar você concorda automaticamente com nossa política de privacidade - clique aqui e saiba mais