Como organizar uma war room para um ataque cibernético (guia prático para empresas)

Passo a passo

1. 1

   1. Confirme e isole — não desligue

   Antes de qualquer coisa, confirme que é um incidente real e não um falso positivo. Isolação seletiva de rede (desconectar segmentos afetados sem desligar máquinas) preserva memória volátil e evidências forenses. Desligar servidores apressadamente é um dos erros mais custosos que equipes não treinadas cometem.

2. 2

   2. Ative o canal de comunicação out-of-band

   Assuma imediatamente que e-mail corporativo, Slack, Teams e qualquer sistema hospedado na sua infraestrutura podem estar comprometidos ou monitorados pelo atacante. Crie um grupo em canal externo e seguro — WhatsApp Business com número dedicado, Signal ou plataforma de crise externa — e mova toda a comunicação do incidente para lá.

3. 3

   3. Nomeie o Comandante do Incidente

   Uma única pessoa tem autoridade de decisão final. Sem um Incident Commander, a war room vira comitê: todos falam, ninguém decide. O Comandante não precisa ser o mais técnico — precisa ter autoridade para mobilizar recursos, aprovar comunicações e encerrar discussões circulares.

4. 4

   4. Convoque os papéis obrigatórios

   Acione imediatamente: equipe técnica de IR (contenção e análise), jurídico (responsabilidade, LGPD, preservação de evidências), comunicação/PR (narrativa externa), DPO se houver dados pessoais envolvidos, e um executivo com poder de aprovação de gastos. RH entra se houver suspeita de ameaça interna.

5. 5

   5. Abra o registro de linha do tempo

   Desde o primeiro minuto, um responsável designado documenta em tempo real: o que foi detectado, quando, por quem, quais ações foram tomadas e quais decisões foram aprovadas por quem. Esse registro é o alicerce do relatório pós-incidente, da comunicação com autoridades e de eventual defesa legal.

6. 6

   6. Estabeleça a cadência de reuniões

   Nas primeiras 24 horas: reuniões de status a cada 2 horas, máximo 20 minutos. Formato fixo — estado atual, próximas 3 ações, bloqueios. Evite reuniões abertas e sem pauta: elas consomem o tempo que a equipe técnica precisa para trabalhar. Após estabilização inicial, passe para ciclos de 4–6 horas.

7. 7

   7. Avalie os gatilhos de notificação legal

   Se houver dados pessoais envolvidos, o prazo legal da ANPD começa a contar a partir do momento em que a empresa tem ciência do incidente. Jurídico e DPO devem avaliar nas primeiras 2 horas se há obrigação de notificar — o prazo brasileiro é de 3 dias úteis para notificação preliminar à ANPD e aos titulares afetados, quando aplicável.

8. 8

   8. Decida sobre isolamento total vs. contenção monitorada

   Em alguns cenários (especialmente espionagem e APT), isolar imediatamente alerta o atacante e faz com que ele apague rastros. Em outros (ransomware ativo se espalhando), cada segundo conta e o isolamento é imediato. Essa decisão deve ser tomada pelo Comandante com o lead técnico — nunca unilateralmente pela TI operacional.

O que é uma war room cibernética e por que ela existe

Uma war room cibernética — também chamada de sala de crise, centro de comando de incidente ou CSIRT operacional — é a estrutura temporária de tomada de decisão ativada quando um incidente de segurança grave ameaça a continuidade, os dados ou a reputação de uma organização. O conceito vem da gestão militar de crises e foi adaptado ao contexto corporativo de segurança da informação pelo NIST SP 800-61 (Computer Security Incident Handling Guide) e pelo framework de gerenciamento de crise do SANS Institute.

A lógica central é simples: incidentes cibernéticos graves exigem decisões rápidas, com consequências sérias, em condições de informação incompleta e pressão extrema. Sem um processo estruturado, o que acontece é a 'gestão por grito' — o mais barulhento decide, o técnico é atropelado pelo executivo, o jurídico chega tarde, e a comunicação é improvisada. O resultado é sistematicamente pior do que o incidente original exigiria.

A war room não substitui a equipe técnica de resposta a incidentes — ela a governa. Enquanto analistas forenses e engenheiros de IR trabalham na contenção e erradicação, a war room garante que as decisões de negócio, comunicação e compliance sejam tomadas com velocidade e coerência. É a diferença entre reagir e responder.

Quem deve estar na war room: papéis e responsabilidades

O Comandante do Incidente (Incident Commander) é o papel mais crítico e mais negligenciado. É quem tem autoridade final sobre todas as decisões do incidente — do isolamento de sistemas à aprovação da comunicação pública. Não precisa ser o mais técnico: precisa ter clareza, autoridade e capacidade de encerrar debates. Em empresas sem CISO estruturado, esse papel frequentemente recai sobre o CTO ou um diretor sênior com suporte de consultoria especializada.

O Lead Técnico de IR é o principal elo entre a war room e a equipe de campo. É responsável por traduzir dados forenses em informação acionável para o Comandante — 'qual é o escopo real?', 'o atacante ainda está ativo?', 'o que precisamos para conter?'. Em incidentes críticos, essa pessoa deve ser poupada de tarefas administrativas e operacionais para focar exclusivamente na análise e direção técnica.

Jurídico e DPO entram desde o primeiro momento por razões distintas: jurídico cuida da responsabilidade contratual, preservação de evidências sob privilege legal, relação com autoridades e eventual litígio; o DPO (ou o responsável pela privacidade) avalia imediatamente se dados pessoais foram afetados e quais obrigações de notificação se aplicam — LGPD, setor regulado (BACEN, ANS, ANATEL), acordos contratuais.

Comunicação e PR gerenciam a narrativa. A função não é esconder o incidente — é comunicar de forma controlada, precisa e no momento certo. Isso inclui redigir comunicados internos para colaboradores, respostas para clientes e parceiros afetados, e declarações para imprensa caso o incidente se torne público. Uma má comunicação em crise pode causar dano reputacional superior ao próprio ataque.

RH participa quando há suspeita de ameaça interna, quando colaboradores são vítimas (ex.: dados de funcionários vazados) ou quando ações disciplinares ou demissões precisam ser coordenadas como parte da resposta. Executivo com poder de aprovação — CEO, CFO ou COO — deve estar disponível para decisões de alto impacto: contratar IR externo, acionar seguro cibernético, aprovar comunicação com clientes estratégicos, ou tomar a decisão de notificar reguladores.

Infraestrutura segura e canais out-of-band: assumindo o comprometimento

O princípio fundamental da infraestrutura de war room é assumir comprometimento total até que se prove o contrário. Isso significa que toda comunicação, planejamento e coordenação da resposta deve acontecer fora dos sistemas corporativos. E-mail empresarial, Microsoft Teams, Slack corporativo, sistemas de ticketing internos — todos devem ser considerados potencialmente lidos pelo atacante durante a resposta.

O canal out-of-band deve ser estabelecido antes do incidente, como parte do plano de resposta, mas pode ser improvisado rapidamente. As opções mais usadas incluem: Signal (criptografia end-to-end, sem metadados corporativos), WhatsApp Business com número de SIM dedicado ao IR, plataformas externas de gerenciamento de crise (como Everbridge, OnSolve ou similares), ou simplesmente um grupo de e-mail em contas pessoais dos membros-chave.

Além do canal de comunicação, a war room precisa de um ambiente de trabalho seguro para documentação: uma planilha compartilhada em conta Google ou Microsoft pessoal, fora do domínio corporativo, serve para a timeline de incidente. Ferramentas forenses devem rodar em workstations isoladas ou em ambientes cloud temporários provisionados fora da infraestrutura comprometida.

A sala física — quando a empresa tem presença física centralizada — deve ser uma sala com acesso restrito, sem câmeras corporativas (que podem estar comprometidas), com dispositivos pessoais ou dedicados. Em empresas distribuídas, a war room é inteiramente virtual, o que reforça ainda mais a necessidade do canal out-of-band estabelecido previamente.

Cadência, registro e governança: como a war room funciona na prática

A war room eficaz opera em ciclos curtos e previsíveis. Nas primeiras 24 horas, reuniões de status a cada 2 horas, com duração máxima de 20 minutos, seguindo uma pauta fixa: situação atual (o que sabemos agora), ações em andamento e responsáveis, próximas 3 decisões necessárias, bloqueios. Reuniões abertas e sem estrutura são o maior dreno de produtividade em crises — cada hora que a equipe técnica passa em reunião é uma hora a menos de trabalho real de contenção.

O registro de incidente é o documento central da war room. Deve conter: linha do tempo cronológica com timestamps precisos (em UTC), todas as decisões tomadas com o nome de quem aprovou, todas as hipóteses levantadas e seu status (confirmada, descartada, em investigação), sistemas afetados e status de contenção, comunicações enviadas e recebidas. Esse documento, mantido em tempo real por um responsável designado, é a base para o relatório final, para comunicações com autoridades e para eventual defesa legal.

A estrutura de governança do NIST SP 800-61 divide a resposta em quatro fases: Preparação, Detecção e Análise, Contenção/Erradicação/Recuperação, e Atividade Pós-Incidente. A war room governa principalmente as fases 2, 3 e a transição para a fase 4. É fundamental que o Comandante do Incidente declare formalmente a transição entre fases — isso evita que a equipe fique presa em modo de 'contenção' quando já deveria estar em 'recuperação', e vice-versa.

Após a estabilização inicial (tipicamente após 24–48 horas), a cadência pode ser reduzida para reuniões de 4–6 horas, e a war room começa a planejar a recuperação. A desmobilização formal da war room deve ser declarada pelo Comandante, com critérios claros: ameaça ativa erradicada, sistemas críticos restaurados, comunicações obrigatórias enviadas, e timeline de acompanhamento definida.

Comunicação em crise: interna, clientes, ANPD e autoridades

A comunicação interna deve vir antes de qualquer comunicação externa. Colaboradores que descobrem o incidente por notícias ou redes sociais — antes de serem informados pela empresa — perdem confiança na liderança e podem tomar ações prejudiciais (falar com imprensa, compartilhar informações incorretas). A comunicação interna deve ser honesta sobre o que se sabe e o que ainda está sendo investigado, com canais claros para dúvidas.

A comunicação com clientes e parceiros afetados deve ser baseada em fatos confirmados, não em especulações. O modelo recomendado: reconheça o incidente, explique o que é conhecido sobre o impacto, descreva o que está sendo feito, informe o que o cliente deve fazer (se houver ação necessária), e estabeleça o próximo ponto de atualização com data e hora. Evite comunicações que minimizem o incidente — descobertas posteriores que contradizem uma comunicação inicial otimista causam dano reputacional desproporcional.

No Brasil, a LGPD (Lei 13.709/2018) e a Resolução CD/ANPD nº 15/2024 estabelecem obrigações de comunicação quando dados pessoais são afetados. O prazo para notificação preliminar à ANPD é de 3 dias úteis após o controlador ter ciência de incidente que possa acarretar risco ou dano relevante aos titulares. A notificação complementar pode ser feita em até 20 dias úteis. O DPO ou jurídico deve avaliar nas primeiras 2 horas se o incidente se enquadra nesses critérios — e o registro de que essa avaliação foi feita deve estar na timeline.

Para setores regulados (instituições financeiras sob BACEN, operadoras de saúde sob ANS, telecomunicações sob ANATEL), há obrigações adicionais e prazos específicos. Autoridades policiais — como a CGCIBER do Exército, a Polícia Federal (crimes cibernéticos) ou delegacias especializadas estaduais — podem ser acionadas quando há evidência de crime, especialmente em casos de ransomware com pagamento de resgate, fraude financeira ou espionagem industrial.

Pós-incidente: lições aprendidas e fortalecimento estrutural

A reunião de lições aprendidas (post-mortem ou after-action review) deve acontecer entre 5 e 15 dias após o encerramento do incidente — tempo suficiente para que a equipe se recupere emocionalmente, mas próximo o bastante para que os detalhes ainda estejam frescos. O objetivo não é atribuir culpa, mas entender: o que falhou no processo de detecção, o que funcionou na resposta, o que foi mais lento do que deveria, e o que precisa mudar.

O relatório pós-incidente — baseado na timeline mantida durante a war room — deve documentar a causa raiz confirmada, o vetor de entrada, a extensão do comprometimento, as ações de contenção e erradicação, os sistemas e dados afetados, o custo total (direto e indireto) e as recomendações de melhoria com responsáveis e prazos. Esse relatório é um ativo de segurança: ele alimenta o programa de segurança, justifica investimentos para a diretoria e demonstra diligência para reguladores.

Empresas que passam por um incidente sério sem atualizar seu plano de resposta, seus controles técnicos e seu programa de treinamento invariavelmente sofrem um segundo incidente dentro de 12 meses. O pós-incidente é a oportunidade mais valiosa de maturidade em segurança que uma organização tem — e a maioria desperdiça por pressa em 'voltar ao normal'. A Decripte conduz processos estruturados de lições aprendidas como parte de todos os seus engajamentos de resposta a incidentes, garantindo que o aprendizado se converta em mudança real.

Termos importantes

War Room Cibernética

Estrutura temporária de comando e controle ativada durante um incidente de segurança grave, reunindo os papéis de decisão necessários (técnico, jurídico, comunicação, executivo) em um ambiente seguro e fora da infraestrutura potencialmente comprometida, com o objetivo de coordenar a resposta, conter o dano e governar as comunicações internas e externas.

Canal Out-of-Band

Canal de comunicação alternativo, externo à infraestrutura corporativa, utilizado durante a resposta a incidentes para garantir que a coordenação da war room não seja interceptada ou sabotada pelo atacante. Exemplos: Signal, WhatsApp com número dedicado, plataformas de gestão de crise externas. Deve ser definido previamente no plano de resposta a incidentes.

Incident Commander (Comandante do Incidente)

Papel de autoridade única de decisão durante um incidente de segurança, responsável por coordenar todos os workstreams da war room, aprovar comunicações e encerrar debates. Conceito adaptado do Incident Command System (ICS) utilizado por forças de emergência, adotado no NIST SP 800-61 para resposta a incidentes cibernéticos.

NIST SP 800-61

Publicação especial do National Institute of Standards and Technology (EUA) intitulada 'Computer Security Incident Handling Guide', que define o framework de referência para resposta a incidentes cibernéticos em quatro fases: Preparação; Detecção e Análise; Contenção, Erradicação e Recuperação; e Atividade Pós-Incidente. É o padrão mais amplamente adotado globalmente e a base metodológica dos processos de IR da Decripte.

Perguntas frequentes