§ III · NIST SP 800-61 + LGPD Art. 48

Resposta a incidentes: o relógio começa com a detecção.

Incidentes de segurança envolvendo dados pessoais disparam obrigações formais. No Brasil, a LGPD · Art. 48 combinada com a Res. CD/ANPD 15/2024 impõe 3 dias úteis pra comunicação formal à ANPD + 20 dias pra relatório complementar. A metodologia de base é o NIST SP 800-61 (Computer Security Incident Handling Guide).

LGPD Art. 48 + Res. 15/2024.

O Art. 48 LGPD obriga o controlador a comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A Res. CD/ANPD 15/2024 regulamentou prazos específicos em 2024:

  • 3 dias úteis da ciência do incidente · comunicação inicial à ANPD + titulares afetados (se houver risco relevante)
  • 20 dias a partir da comunicação inicial · relatório complementar com detalhes técnicos + medidas adotadas
  • Formato · canal formal da ANPD (portal gov.br) · trilha auditável preservada
  • Conteúdo mínimo · natureza, dados afetados, número estimado de titulares, medidas tomadas, impacto previsto, contato do encarregado

Omissão ou atraso viola a LGPD e conta como agravante grave na dosimetria (Res. CD/ANPD 4/2023). Empresas que comunicaram espontaneamente e cooperaram tiveram redução significativa em casos 2024-2025.

NIST SP 800-61 · 6 fases.

A metodologia NIST SP 800-61 rev. 2 é referência global pra incident response. Estrutura em 6 fases cíclicas (não sequenciais · containment e eradication podem se intercalar). Aplicável a incidentes cyber em geral · compatível com exigências LGPD.

01
Preparation Preparar · playbooks + equipe CSIRT + ferramentas + contatos
02
Detection & Analysis Detectar · SIEM alerta → tipificar → coletar evidências
03
Containment Conter · isolar sistemas · limitar propagação
04
Eradication Erradicar · remover causa raiz · vulnerabilidade fechada
05
Recovery Recuperar · restaurar operação · monitorar residual
06
Post-Incident Pós-incidente · relatório + lições · melhoria de controles

Plano de resposta · mínimo viável.

Todo agente de tratamento deveria ter plano de resposta documentado, testado anualmente via tabletop exercise. Elementos mínimos:

  1. Roles & contacts · CSIRT interno · externo (consultor LGPD, forense) · ANPD · imprensa
  2. Classification matrix · severidade × impacto · define quando escalar
  3. Playbook por categoria · data breach · ransomware · DDoS · credential leak · supply chain
  4. Templates de comunicação · ANPD (portal) · titular (email) · imprensa (press release)
  5. Evidência forense · logs preservados · chain of custody SHA-256 · Merkle root
  6. Tabletop anual · cenário simulado · valida procedimentos · identifica gaps

O que Indícia contribui.

O Security Radar não substitui um CSIRT ou SOC. Contribui com:

  • Detecção precoce · scan diário + webhook Slack/Jira no momento do finding
  • Trilha hash-assinada · SHA-256 + Merkle tree preservam evidência forense
  • Export pra relatório ANPD · findings fechados + tempo-de-resposta + medidas tomadas
  • Timeline de scans · demonstra monitoramento contínuo · atenuante Res. 4/2023

Em incidentes efetivos o operador cliente aciona CSIRT interno + jurídico + comunicação. Indícia fornece dados técnicos · não dirige resposta operacional.

Perguntas que estão no ar

Incidentes · dúvidas frequentes.

O que conta como incidente de segurança LGPD?
Qualquer evento adverso confirmado ou suspeito envolvendo dados pessoais · vazamento, acesso não-autorizado, alteração indevida, indisponibilidade prolongada. Res. 15/2024 define "risco relevante" como critério pra notificação.
3 dias úteis contam do quê exatamente?
Da ciência inequívoca do incidente pelo controlador. Não da ocorrência · detecção tardia de incidente antigo ainda dispara SLA de 3 dias a partir da descoberta.
Preciso notificar titular antes da ANPD?
Idealmente em paralelo. A Res. 15/2024 não prioriza ordem · mas comunicação ao titular afetado não pode ser postergada. Titular tem direito Art. 18 de saber sobre incidente relevante.
Posso contratar resposta a incidentes on-demand?
Sim · serviços de IR retainer são comuns. Provedores como Tempest, Deloitte, KPMG oferecem CSIRT as-a-service com SLA de 4-24h pra engajamento. Startups pequenas podem negociar retainer anual.
Indícia contrata pra mim um CSIRT?
Não. Foco é monitoramento contínuo e evidência técnica. CSIRT + jurídico especializado em LGPD são contratações separadas · mantemos lista de parceiros recomendados sob solicitação.
Se não tenho dados sensíveis preciso notificar?
Depende do risco relevante. Vazamento de CPF + email de 10k titulares é risco relevante mesmo sem dados sensíveis Art. 11. Incidentes pequenos (1-10 registros) com dados já públicos podem não exigir notificação · documente análise no ROPA.
§ Leituras relacionadas

Clusters relacionados.

§ CLUSTER ISO 27001 vs NIST Frameworks de gestão · controles de segurança. § CLUSTER Fiscalização ANPD Res. 4/2023 · dosimetria quando houver incidente. § CLUSTER CVSS scoring Priorização de vulnerabilidades no containment.