Conheço gestores que decoraram o NIST Cybersecurity Framework inteiro. Que implementaram a ISO 27001 com todos os controles formalmente documentados e auditados. Que têm dashboards de risco atualizados toda semana. E que, quando o incidente aconteceu, não sabiam o que fazer nos primeiros noventa minutos. Que são exatamente os mais críticos para limitar o dano.

O problema não é o framework. O problema é acreditar que o framework resolve o que apenas o treinamento e a prática resolvem.

O que os frameworks ensinam e o que eles não ensinam

O NIST Cybersecurity Framework organiza a segurança da informação em cinco funções: identificar, proteger, detectar, responder e recuperar. É uma estrutura sólida, bem documentada e amplamente adotada globalmente. A ISO 27001 fornece um sistema de gestão completo, com controles organizacionais, físicos e tecnológicos. O COBIT integra a governança de segurança à governança de TI mais ampla.

Todos esses frameworks são valiosos. E todos têm o mesmo limite fundamental: são estáticos. Descrevem estados desejados e controles recomendados. Não preparam pessoas para tomar decisões sob pressão, com informação incompleta, com sistemas parcialmente comprometidos.

Um plano de resposta a incidentes que nunca foi testado não é um plano. É uma ficção bem documentada.

O cenário real de um incidente cibernético

O custo médio global de um vazamento de dados em 2024, segundo o relatório da IBM, foi de 4,88 milhões de dólares. O tempo médio para identificar e conter uma violação foi de 258 dias. Organizações com planos de resposta a incidentes testados regularmente contêm violações em média 54 dias mais rápido do que organizações sem essa prática.

Quando um ransomware compromete os sistemas de uma empresa, as decisões críticas precisam ser tomadas nas primeiras horas. Isolar sistemas afetados ou manter a operação rodando? Notificar parceiros e clientes agora ou aguardar mais informações? Acionar a apólice de seguro cibernético? Comunicar à ANPD dentro do prazo legal de 72 horas?

Essas decisões não estão documentadas em nenhum framework. Elas dependem de quem está disponível, do que foi treinado antes e de uma estrutura de autoridade que foi definida antes da crise, não durante ela.

O que acontece quando não há preparação prévia

O primeiro problema é o tempo perdido em discussão sobre quem tem autoridade para tomar cada decisão. Em incidentes reais, essa discussão costuma consumir horas preciosas. O segundo problema é a comunicação inadequada, tanto interna quanto externa. Mensagens contraditórias para clientes e parceiros amplificam o dano reputacional além do necessário. O terceiro problema é a evidência perdida. Ações tomadas sem metodologia adequada podem comprometer a capacidade forense de entender o que aconteceu.

Os CIS Controls e a preparação para resposta

Os CIS Controls, mantidos pelo Center for Internet Security, incluem controles específicos voltados para a capacidade de resposta a incidentes. O controle 17 trata explicitamente do gerenciamento de resposta a incidentes, estabelecendo como organizações devem estruturar, documentar e praticar seus planos de resposta.

O ponto central do controle 17 não é a documentação. É o teste. Organizações que adotam os CIS Controls de forma madura realizam simulações regulares, conhecidas como tabletop exercises, onde as equipes responsáveis enfrentam cenários realistas de incidente e tomam decisões como se o incidente estivesse acontecendo de verdade.

Como estruturar um programa de preparação para incidentes

O primeiro elemento é o plano de resposta a incidentes documentado, com papéis, responsabilidades e fluxos de decisão claramente definidos. Quem declara um incidente? Quem tem autoridade para isolar sistemas? Quem comunica externamente? Essas definições precisam existir antes do incidente.

O segundo elemento são os exercícios de simulação, ao menos uma vez por ano. Duas vezes por ano é o recomendado para organizações em setores com alto risco cibernético. O exercício não precisa ser tecnicamente complexo para ser eficaz. Cenários narrativos conduzidos em sala de reunião já revelam lacunas críticas no plano.

O terceiro elemento é a revisão pós-incidente, tanto de incidentes reais quanto de simulações. O que funcionou? O que não funcionou? O que mudaria? Esse aprendizado documentado é o que transforma cada incidente em capacidade organizacional acumulada.

O que a liderança precisa garantir

Preparação para incidentes cibernéticos não é responsabilidade exclusiva da TI ou do time de segurança. É uma capacidade organizacional que precisa do envolvimento de jurídico, comunicação, operações e alta liderança.

Líderes que nunca participaram de um exercício de simulação de incidente tendem a subestimar a complexidade das decisões que precisarão tomar. Participar de um tabletop exercise uma vez por ano é uma das formas mais eficazes de um executivo desenvolver a intuição certa para situações que espera nunca enfrentar, mas que precisa estar pronto para gerenciar.

Framework é o mapa. Mapa não dirige o carro. Quem dirige são as pessoas. E pessoas precisam de prática, não apenas de documentação.