Livro do Curso

Prévia do material em texto

para profissionais ligados à área de segurança da infor
mação e de TIC que necessitem desenvolver competên
cias e habilidades para iniciarem a área de Tratamento 
de Incidentes, implementarem e estabelecerem uma 
Equipe de Tratamento e Resposta a Incidentes em Redes 
Computacionais – ETIR. Ao final do curso, o alunos esta
rá apto a criar e gerenciar uma equipe de respostas a inci
dentes de segurança, como também, a utilizar as técnicas e
ferramentas para tratamento de incidentes. 
Este livro inclui os roteiros de atividades práticas e o con
teúdo dos slides apresentados em sala de aula, apoiando 
profissionais na disseminação deste conhecimento em 
suas organizações ou localidades de origem. 
Tratamento de 
Incidentes de 
Segurança
 – Rede Nacional de Ensino 
e Pesquisa – é qualificada como 
uma Organização Social (OS), 
sendo ligada ao Ministério da 
Ciência, Tecnologia e Inovação 
( M C T I ) e r e s p o n s á v e l p e l o 
Programa Interministerial RNP, 
que conta com a participação dos 
ministérios da Educação (MEC), da 
Saúde (MS) e da Cultura (MinC). 
Pioneira no acesso à Internet no 
Brasil, a RNP planeja e mantém a 
rede Ipê, a rede óptica nacional 
acadêmica de alto desempenho. 
Com Pontos de Presença nas 
27 unidades da federação, a rede 
tem mais de 800 instituições 
conectadas. São aproximadamente 
3,5 milhões de usuários usufruindo 
de uma infraestrutura de redes 
avançadas para comunicação, 
computação e experimentação, 
que contribui para a integração 
entre o sistema de Ciência e 
Tecnologia, Educação Superior, 
Saúde e Cultura. 
Tratamento de 
Incidentes de 
Segurança
 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
Tratamento de 
Incidentes de 
Segurança
 
Rio de Janeiro
Escola Superior de Redes
2017
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
Copyright © 2017 – Rede Nacional de Ensino e Pesquisa – RNP 
Rua Lauro Müller, 116 sala 1103 
22290-906 Rio de Janeiro, RJ
Diretor Geral 
Nelson Simões
Diretor de Serviços e Soluções 
José Luiz Ribeiro Filho
Escola Superior de Redes
Diretor Adjunto 
Leandro Marcos de Oliveira Guimarães
Coordenação Acadêmica de Segurança e Governança de TI 
Edson Kowask
Edição 
Lincoln da Mata
Revisão técnica 
Jácomo Picolini
Equipe ESR (em ordem alfabética) 
Adriana Pierro, Camila Gomes, Celia Maciel, Edson Kowask, Elimária Barbosa, 
Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, 
Márcia Correa, Márcia Helena Rodrigues, Monique Souza, Renato Duarte, Thays Farias 
e Yve Marcial.
Capa, projeto visual e diagramação 
Tecnodesign
Versão 
2.0.3
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de 
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e 
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a 
pessoas ou bens, originados do uso deste material. 
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição 
Escola Superior de Redes 
Rua Lauro Müller, 116 – sala 1103 
22290-906 Rio de Janeiro, RJ 
http://esr.rnp.br 
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
C416t Ceron, M. João 
 Tratamento de Incidentes de Segurança /João Marcelo Ceron. – Rio de Janeiro: 
 RNP/ESR, 2014 
 168 p. : il. ; 27,5 cm.
 ISBN 978-85-63630-46-9
 1. Segurança de computador. 2. Internet – medidas de segurança. 3. Centro de estudos, 
 Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT). 4. Grupo de Resposta a 
 Incidentes de Segurança (CSIRT). I. Título..
 CDD 005.8
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
iii
Sumário
Escola Superior de Redes
A metodologia da ESR ix
Sobre o curso  x
A quem se destina x
Convenções utilizadas neste livro x
Permissões de uso xi
Sobre o autor xii
1. Definições e fundamentos de CSIRTs
Introdução 1
Contextualização histórica  2
Identificando CSIRTs pelo mundo 3
Definição de CSIRT 3
Exercício de fixação 1 Conhecendo CSIRTs 4
Abrangência operacional e missão do CSIRT 5
Serviços de CSIRTs 6
Aspectos operacionais de um CSIRT 10
Tipos 10
Modelos 10
Autonomia  11
Definição de incidente 11
Passos para criação de um CSIRT 12
Fóruns de CSIRTS  13
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
iv
2. Gerenciamento do CSIRT
Introdução 15
Código de conduta 15
Equipe 17
Treinamento e desenvolvimento da equipe 20
Terceirização de serviços  20
Contratação  21
Procedimentos de ingresso e desligamento 23
Requisitos estruturais 24
Comunicação  27
Fatores de sucesso  29
3. Riscos e ameaças
Introdução 33
Análise de risco 33
Ameaças associadas a segurança de sistemas  36
Comprometimento de sistemas 37
Phishing 38
Desfiguração 39
Ataques de força bruta 39
Varredura em redes (Scan) 40
Negação de serviço (DoS e DDoS) 40
Malwares 42
Outros riscos 45
APT 46
4. Processo de tratamento de incidentes
Introdução 49
Metodologia para resposta a incidentes 50
Preparação  51
Contenção  56
Erradicação 58
Recuperação 58
Avaliação 60
Recursos adicionais  60
Roteiro para avaliação inicial de um incidente 61
Procedimentos  62
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
v
5. Aspectos operacionais da resposta a incidentes
Introdução 65
Aspectos operacionais da resposta a incidente 65
Identificação 66
Exercício de fixação 1 Análise de cabeçalho de e-mail 70
Exercício de fixação 2 Utilizando o protocolo SMTP 71
Sincronismo de tempo 73
Exercício de fixação 3 Padronização do formato data e hora 75
Priorização  76
Categorização  77
Exercício de fixação 4 Classificação e triagem de incidentes 78
Atribuição  79
Boas práticas para a notificação de incidentes de segurança 85
6. Identificação de contatos
Introdução 87
Identificação de contatos 88
Traduzir domínios de redes para endereços IP (domínio > IP) 88
Traduzir o endereço IP para domínios de redes (IP > domínio) 88
Exercício de fixação 1 94
Exercício de fixação 2 96
Recursos adicionais 97
Exercício de fixação 3 utilizando a ferramenta DIG 100
Exercício de fixação 4 Sistemas Autônomos 102
7. Análise de Logs 
Introdução 107
Mensagens de logs 108
Sistemas de logs 111
Gerenciamento de logs 115
Análise de logs 116
Filtragem 119
Normalização 121
Correlação  122
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
vi
Ferramentas para o processamento de logs 123
Aspectos de segurança  125
Recomendações para sistemas de logs 126
8. Ferramentas para análise de incidentes
Introdução 129
Preocupações de privacidade  130
Proxies  132
Web-Proxies  133
Virtual Private Network (VPN) 134
Rede Tor 135
Uso da rede Tor na investigação de incidentes 136
Mecanismos de busca 137
Analisadores de malwares 137
Assinaturas de malwares  138
Ferramentas multiantivírus 139
Exercício de fixação 1 Virustotal 141
Análise comportamental 141
Exercício de fixação 2 Análise dinâmica de arquivos maliciosos 146
Considerações sobre o uso de ferramentas online 146
Analisadores de websites 147
Outros serviços online  149
Listas de bloqueio  149
Exercício de fixação 3 Pesquisando por sites relacionados com fraudes 150
Repositório de websites desfigurados 150
Exercício de fixação 4 Identificar servidores que já foram comprometidos utilizando 
 a base de dados do zone-h 151
Demais ferramentas para analisar artefatos 152
9. Dinâmica de tratamento de incidentes 
Introdução 153
Contextualização 153
SIFRA 155
Tratamento de incidentes de segurança  156
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
vii
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) 
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce coma proposta de ser a formadora e disseminadora de competências 
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e 
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do 
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC. 
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto 
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e 
Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e 
execução de planos de capacitação para formação de multiplicadores para projetos edu-
cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil 
(UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de 
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na 
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza 
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não 
apenas como expositor de conceitos e informações, mas principalmente como orientador do 
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. 
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema 
semelhantes às encontradas na prática profissional, que são superadas por meio de análise, 
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências. 
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as 
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor 
busca incentivar a participação dos alunos continuamente. 
Escola Superior de Redes
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
viii
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das 
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de 
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar. 
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo 
para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). 
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema 
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta 
questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma 
à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se 
coloque em posição de passividade, o que reduziria a aprendizagem. 
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). 
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e 
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no 
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer 
explicações complementares. 
Terceira etapa: discussão das atividades realizadas (30 minutos). 
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, 
devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a 
comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, 
estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem 
soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso 
O curso apresenta os conceitos fundamentais e descreve as fases de tratamento de inciden-
tes de segurança com exercícios práticos e simulações de casos. O curso apresenta ainda as 
atividades necessárias para que seja estabelecida uma Equipe de Tratamento e Resposta a 
Incidentes em Redes Computacionais – ETIR, suas responsabilidades, seu modelo de atuação 
e estrutura. Ao final do curso o aluno estará preparado para iniciar a criação de um grupo de 
atendimento a incidentes de segurança (Computer Security Incident Response Team - CSIRT) 
e com conhecimento necessário para realizar o tratamento de incidentes na sua organização.
A quem se destina
O curso destina-se aos gestores e profissionais da área de segurança da informação e de TIC 
que necessitam adquirir e desenvolver competências e habilidades para iniciarem a área de 
Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e 
Resposta a Incidentes em Redes Computacionais – ETIR de acordo com a norma complementar 
do DSIC e as boas práticas de mercado. Também poderão se beneficiar outros profissionais 
desejam adquirir o conhecimento sobre ETIR e tratamento de incidentes.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico 
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
ix
Largura constante
 
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída 
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem 
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide q 
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. 
Símbolo w 
Indica referência complementar disponível em site ou página na internet.
Símbolo d 
Indica um documento como referência complementar.
Símbolo v 
Indica um vídeo como referência complementar. 
Símbolo s 
Indica um arquivo de aúdio como referência complementar.
Símbolo ! 
Indica um aviso ou precaução a ser considerada.
Símbolo p 
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao 
entendimento do tema em questão.
Símbolo l 
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou 
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP. 
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. 
Exemplo de citação: TORRES, Pedro et al. Administração de Sistemas Linux: Redes e Segurança. 
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação: 
Escola Superior de Redes RNP 
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo 
Rio de Janeiro – RJ – 22290-906 
E-mail: info@esr.rnp.br
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
x
Sobre o autor
Jácomo Picolini é formado em Engenharia pela Universidade Federal de São Carlos, com 
pós-graduações no Instituto de Computação e Instituto de Economia da UNICAMP, possui 
17 anos de experiência na área de segurança, trabalhou no CAIS/RNP até 2009 e depois 
como Coordenador Acadêmico da área de Segurança e Governança de TI ESR/RNP até 
2011, Diretor no Dragon Research Group, membro da diretoria do capítulo da ISACA de 
Brasília 2011-2014, membro da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia 
da OAB SP, liasion do FIRST.org onde coordena as atividades de treinamento, professor 
convidado em cursos de pós-graduação nas disciplinas de análise forense, tratamento de 
incidentes, segurança de sistemas,criação e gerenciamento de CSIRTs. Atualmente trabalha 
na empresa Team Cymru NFP e faz parte da equipe que provê informações para tornar a 
Internet mais segura.
Edson Kowask Bezerra é profissional da área de segurança da informação e governança 
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e 
gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-
ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de 
grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com 
vasta experiência nos temas de segurança e governança, tem atuado também como pales-
trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em 
segurança e governança. É professor e coordenador de cursos de pós-graduação na área de 
segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como 
Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
1
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
o
bj
et
iv
o
s
conceito
s
1
Definições e fundamentos 
de CSIRTs
Aprender conceitos e termos relacionados com CSIRTs; Descrever os principais 
aspectos operacionais de um CSIRT; Iniciar o processo de criação de um CSIRT.
 
O CSIRT; Definições importantes na criação de Grupo de Resposta a Incidentes de 
Segurança; Conceito de “incidente de segurança”.
 
 
Introdução
qO contínuo crescimento e a popularização da internet estão sendo acompanhados pelo 
aumento de novas ameaças de segurança dos sistemas computacionais. Com o passar 
do tempo, entretanto, as ameaças e ataques aos sistemas computacionais têm aumen-
tado consideravelmente. Esse aumento é decorrente de inúmeros fatores, entre os quais 
o aumento no número de usuários, o aumento no número de transações financeiras e, 
sobretudo, o aumento do grau de dependência tecnológica da sociedade.
Boa parte dos serviços está amplamente acessível na rede, de modo a prover suas funciona-
lidades aos seus usuários. Consequentemente, esses sistemas também se tornam expostos 
aos diferentes tipos de ameaças. Tais ameaças incluem atividades de usuários, softwares 
maliciosos e vulnerabilidades associadas aos serviços utilizados. Diante disso, torna-se 
essencial implementar mecanismos para lidar com eventos de segurança antes mesmo 
que danos significativos sejam causados às instituições. Além do mais, é necessário que os 
procedimentos tradicionais para proteção de sistemas sejam constantemente aprimorados 
de modo a contemplar as novas ameaças e ataques emergentes na internet.
qEsse contexto fomentou o surgimento de equipes especializadas em lidar com incidentes 
de segurança. Dessa forma, a equipe pode desenvolver metodologias para proteger os 
sistemas e, na ocorrência de um avento arbitrário de segurança, esse grupo de pessoas 
pode prontamente interceder de forma efetiva. 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
2
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
Contextualização histórica 
qAtualmente observam-se muitos times de segurança constituídos em diferentes insti-
tuições. Nos primórdios da internet, o número de incidentes de segurança era bastante 
reduzido e de baixa complexidade. No entanto, com o passar do tempo, os incidentes 
de segurança obtiveram novas proporções, sobretudo após o incidente de segurança 
denominado de Internet Worm.
Esse incidente fomentou a discussão na comunidade de segurança pela necessidade de 
melhores meios para identificar e responder incidentes de computadores na internet de 
forma efetiva. 
Como resultado, um conjunto de recomendações foi especificado tendo como 
principal demanda: 
 1 Criar um único ponto de contato na rede para comunicar problemas de segurança; 
 1 Atuar de forma confiável com informações de segurança. 
Em resposta a essas recomendações, foi institucionalizado o primeiro grupo de resposta a 
incidentes, conhecido como CERT Coordination Center (CERT/CC), localizado na universidade 
de Carnegie Mellon, nos Estados Unidos. 
Na Europa, o mesmo modelo foi adotado, e em 1992 o provedor acadêmico holandês SURFnet 
fundou o primeiro time europeu, o qual foi denominado SURFnet-CERT. Consequentemente, 
outros times foram implementados em diferentes intuições e em diversos países.
No Brasil não foi diferente. Embora a primeira conexão da internet tenha sido oficialmente 
inaugurada em 1989, a internet realmente ganhou corpo em 1995, quando foi liberada a 
operação da internet comercial no Brasil. No mesmo ano, o Comitê Gestor da Internet no 
Brasil (CGI.br) foi criado com a responsabilidade de coordenar e integrar todas as iniciativas 
de serviços internet no país, promovendo a qualidade técnica, a inovação e a disseminação 
dos serviços ofertados.
Entre as diversas iniciativas do CGI.br, a publicação do documento Rumo à Criação de uma 
Coordenadoria de Segurança de Redes na Internet Brasil em agosto de 1996 foi um marco para 
a segurança da internet brasileira. 
Nesse documento, são discutidos aspectos de segurança nacional e a importância dos 
CSIRTs para a segurança da rede. Entre as recomendações, sugeriu-se a criação de um 
centro nacional de coordenação de segurança de redes.
Com base nas recomendações do CGI.br, em junho de 1997 foi estabelecido o primeiro 
grupo de responsabilidade nacional, denominado NIC BR Security Office (NBSO), que poste-
riormente seria renomeado para CERT.br. 
No mesmo ano, outros times de diferentes instituições brasileiras foram formalizados:
 1 1997:
 2 Fundação do CAIS: CSIRT da própria Rede Nacional de Ensino e Pesquisa (RNP);
 2 Fundação do NBSO (Cert.br);
 2 Fundação do CERT-RS: CSIRT da rede acadêmica do Rio Grande do Sul.
 1 1999:
 2 Fundação do GRA: CSIRT do SERPRO (Serviço Federal de Processamento de Dados);
 2 Fundação de diversos CSIRTs em universidades e operadores de telecomunicações.
Internet Worm: 
Em 1988, o incidente 
Internet Worm deixou 
milhares de compu-
tadores inoperantes. 
Estima-se que seis 
mil sistemas foram 
afetados, o que repre-
sentava aproximada-
mente 10% da internet 
operante na época. 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
3
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
 1 2004:
 2 Fundação do CTIR Gov: CSIRT voltado para a administração pública federal.
 1 2010:
 2 Fundação do CDCiber: CSIRT responsável pelo setor cibernético no exército.
No Brasil, atualmente, podemos encontrar diversos grupos estabelecidos em diferentes 
estados. No website do CERT.br são ilustrados alguns times estabelecidos e respectivas 
informações de contato. 
 1 http://www.first.org/members/teams
 1 http://www.rnp.br/cais/csirts.html
 1 http://www.cert.br/contato-br.html
 1 http://www.cert.org/csirts/national/contact.html
 1 http://www.apcert.org/about/structure/members.html
 1 http://www.cert.org/csirts/csirt-map.html 
Identificando CSIRTs pelo mundo
Os websites a seguir podem ser utilizados para localizar CSIRTs e suas respectivas abrangências 
operacionais nos mais diversos países.
Definição de CSIRT
qUm Computer Security Incident Response Team (CSIRT) ou um Computer Security Inci-
dent Response Team (CSIRT) – em português, Grupo de Resposta a Incidentes de Segu-
rança – é uma organização que responde a incidentes de segurança provendo suporte 
necessário para resolver ou auxiliar na resolução.
O CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a 
entidade que o mantém, tal como empresa, órgão governamental ou organização acadêmica. 
Independentemente de sua atuação, é fundamental que um CSIRT tenha a habilidade de ana-
lisar e prover rapidamente meios efetivos para tratar um incidente. A rápida identificaçãoe 
a efetiva análise de um incidente de segurança podem diminuir possíveis danos e, em última 
análise, diminuir os eventuais custos de uma recuperação. Como consequência, a análise de 
incidentes permite a implementação de medidas preventivas evitando que eventos similares 
aconteçam novamente.
qExiste uma sutil diferença entre um CSIRT e uma equipe de segurança departamental. 
Uma equipe de segurança departamental desenvolve ações habituais relativas à moni-
toração de redes e sistemas, como por exemplo: atualização de sistemas; configuração 
de filtro de pacotes; análise de logs; gerenciamento de redes e outras tarefas. Já um 
CSIRT atua com foco na resposta de incidentes, implementando um ponto central para 
notificação, análise e coordenação de incidentes na organização. De forma comple-
mentar, um CISRT pode complementar suas atividades incorporando tarefas de uma 
equipe de segurança departamental; entretanto, seu foco deve estar no tratamento de 
incidentes de segurança.
Organizações que implementam CSIRTs valem-se dos seguintes benefícios:
 1 Existência de mecanismos de resposta a incidentes de segurança;
 1 Instituição preparada para as ameaças emergentes;
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
4
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
q 1 Aumento do grau de segurança, ao desenvolver uma cultura de segurança;
 1 Criação de mecanismos que visam à preservação da instituição;
 1 Introdução de senso crítico em relação à visão tradicional de TI.
É comum questionar-se em relação à denominação de grupos a resposta a incidentes. Além 
de CSIRT, outras siglas são rotineiramente empregadas para designar grupos de resposta a 
incidentes de segurança. Talvez as siglas mais utilizadas sejam: CERT e ETIR. 
A identidade de um grupo começa pela definição do seu nome. 
O nome e a sigla permitem ao seu CSIRT criar uma identidade própria, que deve estar 
alinhada com a de sua instituição e, se possível, refletir o setor que representa (banco, 
indústria, governo etc.).
A seguir uma listagem de siglas e nomes de alguns times:
 1 CERT/CC: Computer Emergency Response Team/Coordination Center;
 1 CAIS/RNP: Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino 
e Pesquisa;
 1 CENATIS: Centro de Atendimento e Tratamento de Incidentes de Segurança da 
Universidade Federal do Rio de Janeiro (UFRJ);
 1 CERT.BR: Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil;
 1 NARIS: Núcleo de Atendimento e Resposta a Incidentes de Segurança da Universidade 
Federal do Rio Grande do Norte (UFRN);
 1 GRIS-CD: Grupo de Resposta a Incidentes de Segurança da Câmara dos Deputados;
 1 TRI: Time de Resposta a Incidentes da Universidade Federal do Rio Grande do Sul (UFRGS);
 1 CERT-RS: Centro de Emergências em Segurança da Rede Tchê;
 1 USP/CSIRT: Centro de Resposta a Incidentes de Segurança da Universidade de 
São Paulo (USP);
 1 GRA/SERPRO: Grupo de Resposta a Ataques do Serviço Federal de Processamento de 
Dados (SERPRO).
Exercício de fixação 1 e 
Conhecendo CSIRTs
Através de uma consulta na internet, localize dois exemplos de grupos de resposta a 
incidentes de segurança nas áreas listadas a seguir. Escreva a sigla, o nome do grupo e a 
comunidade de atuação.
CSIRT governamental:
1. 
2. 
 
A sigla CERT (Computer 
Emergency Response 
Team) é uma marca 
patenteada e somente 
pode ser usada 
mediante prévia 
autorização. Já a sigla 
ETIR representa Equipe 
de Tratamento e 
Resposta a Incidentes 
em redes de computa-
dores, o que corres-
ponde a uma tradução 
livre do termo CSIRT.
l
Leitura recomendada 
– definição de CSIRTs 
segundo o CERT/CC: 
http://www.cert.org/
csirts/csirt_faq.html e 
http://www.cert.br/
certcc/csirts/csirt_
faq-br.html e Departa-
mento de Segurança da 
Informação e Comuni-
cações: http://dsic.
planalto.gov.br/
d
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
5
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
CSIRT de instituição financeira:
1. 
2. 
 
CSIRT comercial:
1. 
2. 
 
CSIRT acadêmico: 
1. 
2. 
 
Abrangência operacional e missão do CSIRT
qA abrangência operacional, também conhecida por constituency, define a comunidade 
atendida pelos serviços do CSIRT. A abrangência operacional de um CSIRT pode ser 
composta por diversos domínios administrativos, diferentes redes, ou ainda por um 
conjunto específico de domínios. Por exemplo: “O CSIRT exemplo atende domínios e 
endereços IP alocados para o AS XXXX”; ou ainda, de forma mais flexível: “Redes, ende-
reços IP e domínios atendidos pela instituição”.
Com a definição da abrangência operacional torna-se possível mapear as necessidades 
e anseios da comunidade utilizadora, o que possibilita, em um contexto mais amplo, 
definir a missão do CSIRT. 
A missão de um CSIRT deve fornecer uma breve descrição das metas e objetivos da 
equipe. A definição da missão é que permite determinar o conjunto de atividades a 
serem desenvolvidas pela equipe no contexto de sua abrangência operacional. 
Recomenda-se que a missão de um CSIRT seja concisa e clara. Afinal, de certa forma, a missão de 
um CSIRT permite que entidades externas possam definir expectativas apropriadas em relação 
às ações a serem tomadas pela equipe. Alguns exemplos de definições da missão de CSIRT:
q 1 Missão do CAIS/RNP (http://www.rnp.br/cais/): “O CAIS – Centro de Atendimento a 
Incidentes de Segurança atua na detecção, resolução e prevenção de incidentes de 
segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar 
práticas de segurança em redes.”
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
6
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
q 1 Missão do CERT.br (http://www.cert.br/missao.html): “O CERT.br, anteriormente 
denominado NBSO/Brazilian CERT, é o Grupo de Resposta a Incidentes de Segurança 
para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo 
responsável por receber, analisar e responder a incidentes de segurança em compu-
tadores, envolvendo redes conectadas à internet brasileira.”
 1 Missão do CTIR.gov (http://www.ctir.gov.br/): “Operar e manter o Centro de Trata-
mento de Incidentes de Segurança de Redes de Computadores da Administração 
Pública Federal.”
De fato, a missão posiciona o CSIRT frente à sua comunidade de atuação. Adicionalmente, a 
sua comunidade toma conhecimento dos serviços prestados pelo time de segurança. Sabe-
se, entretanto, que o relacionamento com a comunidade de atuação deve ir além da simples 
definição e divulgação dos serviços prestados pelo time. Nesse contexto de segurança, mais 
do que nunca, ações falam mais alto do que definições escritas. Um CSIRT leva tempo para 
ter o seu reconhecimento na comunidade de atuação. Fatores como confiança e respeito são 
conquistados naturalmente com bom trabalho realizado. 
Por fim, e não menos importante, é assegurar que a missão do CSRIT tenha apoio e suporteda camada de gestão da instituição (diretores ou equivalentes). Do contrário, a atuação do 
time pode ser seriamente comprometida.
Serviços de CSIRTs
qOs serviços de um CSIRT definem um conjunto de atividades que serão providas para 
a sua comunidade de atuação (constituency). Evidentemente, algumas atividades são 
intrínsecas ao processo de tratamento de incidentes e, portanto, mandatórias a todos 
os CSIRTs: análise de eventos, resposta de incidentes e coordenação para resolução de 
incidentes de computadores.
Tipicamente, os CSIRTs tradicionais implementam um conjunto de serviços adicionais que 
complementam as atividades relativas ao processo de resposta a incidente, tal como a 
elaboração de alertas e anúncios relacionados à segurança. Outros CSIRTs, porém, diversi-
ficam a sua base de serviços provendo atividades de auditoria de sistemas, análise de riscos, 
treinamento e análise forense. 
qAlgumas atividades típicas de CSIRTs:
 1 Análise de artefatos maliciosos;
 1 Análise de vulnerabilidades;
 1 Emissão de alertas e advertências;
 1 Prospecção ou monitoração de novas tecnologias;
 1 Avaliação de segurança;
 1 Desenvolvimento de ferramentas de segurança;
 1 Detecção de intrusão;
 1 Disseminação de informações relacionadas à segurança.
Embora não exista um conjunto padrão de serviços que um CSIRT deva oferecer, é 
essencial que cada time de segurança especifique serviços tendo em vista seus recursos 
disponíveis, tal como equipe, expertise e infraestrutura necessária.
Segundo documen-
tação do próprio CERT/
CC, em média, um 
CSIRT leva em torno de 
um ano após o início 
de sua operação para 
que a comunidade 
assimile o time e 
comece um processo 
regular de notificações.
l
O aumento de 
notificações de 
segurança para um 
CSIRT é um indício de 
acolhimento pela 
comunidade de 
abrangência.
l
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
7
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
O CERT/CC, por sua vez, disponibiliza um repositório de boas práticas e recomendações que 
especificam detalhes dos serviços prestados por um CSIRT. 
Segundo a nomenclatura adotada, os serviços de um CSIRT podem ser agrupados em:
 1 Serviços reativos;
 1 Serviços proativos;
 1 Serviços de qualidade.
Os serviços correspondentes a cada categoria são listados na tabela 1.1 e descritos de forma 
mais detalhada na sequência.
Reativos Proativos Qualidade
 1Análise de Vulnerabili-
dades.
 1 Elaboração de alertas e 
avisos.
 1Gerenciamento de 
vulnerabilidades.
 1Análise de malwares e 
demais artefatos.
 1Monitoração da segu-
rança na rede.
 1Alertas de ferramentas.
 1Avaliação situacional.
 1Detecção de intrusão.
 1Desenvolvimento de fer-
ramentas de segurança.
 1Análise de processos e 
procedimentos.
 1Gerenciamento da 
equipe ou negócios.
 1 Plano de recuperação de 
desastres.
 1 Educação e treinamento.
Serviços reativos 
São serviços instanciados após a identificação de um incidente de segurança. Tais serviços 
visam solucionar um incidente de segurança em execução ou prover meios para a investi-
gação de incidentes previamente identificados.
De todo modo, os serviços reativos fazem parte das atividades essenciais implementadas 
por CSIRTs no processo de resposta a incidentes de segurança. Os serviços podem ser ins-
tanciados por uma notificação de um incidente – máquina comprometida, por exemplo – um 
pedido de ajuda ou, ainda, por ferramentas de detecção do próprio time de segurança. 
Serviços proativos
Os serviços proativos têm por objetivo evitar que incidentes de segurança ocorram e, 
também, reduzir o impacto quando estes ocorrerem. Para isso, buscam-se desenvolver 
ações seguras de maneira a aprimorar a segurança dos sistemas como um todo, buscando 
diminuir o potencial de sucesso dos ataques contra a infraestrutura das organizações. 
Alguns serviços dessa categoria estão diretamente relacionados a: 
 1 Implementar defesa em camadas e garantir que as melhores práticas de segurança 
sejam implementadas nos sistemas computacionais, incluindo a configuração, definição 
e implementação;
 1 Realizar tarefas de auditoria, avaliação de vulnerabilidades e outras avaliações que visam 
identificar fraquezas nos sistemas ou vulnerabilidades antes que estas sejam exploradas;
 1 Identificar riscos de novas ameaças e tendências de maneira a identificar como elas 
podem afetar a instituição;
 1 Atualizar assinaturas de antivírus ou IDS de maneira a conter as novas ameaças identificadas.
Tabela 1.1 
Os diversos 
tipos de serviços 
prestados por 
um CSIRT.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
8
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
Serviços de qualidade
São serviços desenvolvidos para aprimorar o processo de resposta a incidentes como um 
todo. Para isso, são analisados processos administrativos do CSIRT e também a efetividade 
dos serviços prestados. Dessa forma, podem-se identificar limitações no processo e 
implementar melhorias para o time, seja elas de caráter técnica (treinamento técnico para a 
equipe) ou organizacional (fluxo de informação entre os processos). Essas tarefas incluem:
 1 Gerenciamento da equipe ou processos;
 1 Educação ou treinamento;
 1 Auditoria de sistemas.
Essas diferentes classificações descrevem a natureza dos serviços de um CSIRT e fica a 
critério de cada time incorporá-los à sua comunidade. Alguns serviços são essencialmente 
internos; outros; no entanto, podem ser demandados pela comunidade de atuação e 
também por terceiros. Para isso, deve-se ter claramente documentado as peculiaridades de 
cada serviço no que tange: escopo, formas de contato e funcionamento. 
Por fim, é importante que os serviços prestados por um CSIRT sejam providos com quali-
dade tendo em foco a sua comunidade de atuação. Para isso, torna-se desejável monitorar a 
excelência dos serviços prestados e aprimorá-los com lições aprendidas e contribuições dos 
usuários. Do contrário, o CSIRT pode cair em descrédito e a sua comunidade pode parar de 
reportar incidentes.
Interação com os serviços 
Além de especificar os serviços providos por um CSIRT, é essencial descrever como estes 
podem ser instanciados. Desse modo, um CSIRT deve estabelecer diferentes canais de 
comunicação para a sua comunidade, permitindo que os serviços disponíveis sejam solici-
tados. Existem diferentes meios de contato. 
Talvez o serviço mais utilizado para interação seja o sistema de e-mail. No entanto, devem-se 
prever outras formas de interação com a equipe, incluindo até mesmo requisições pessoais 
originadas por funcionários da própria empresa in loco. 
Quando definir os canais de comunicação, o CSIRT deve considerar questões relativas à 
documentação das solicitações. Por exemplo:
 1 Como gerenciar um incidente notificado via telefone?
 1 Como atualizar a equipe referente ao status de um incidente notificado pessoalmente? 
 1 Incidentes não documentados farão parte das estatísticas de um CSIRT?
Sabe-se que um CSIRT pode se comunicar com a sua comunidade de diferentes formas. 
Na sequência, são descritos os principais canais de comunicação.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
9
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
Formas de disseminar informações e requisitar serviços: 
 1 Telefone: uma das formas mais simples e diretas de comunicação com a sua comuni-
dade de atuação é via contato telefônico. A conversação telefônica é uma forma direta 
de reportar incidentes e lidar com informações que possuem carácter de urgência. No 
entanto, ligações telefônicas podem gerar interpretações errôneas, sobretudo em situ-
ações de emergência. Outro ponto negativo do uso do telefone é a interrupção causada 
pelas ligações. Em eventos de segurança, é comum que muitas pessoas entrem em 
contato com o CSIRT, o que pode atrasar aresolução de um incidente em andamento. 
Alguns times optam por não realizar atendimento via telefone, mas disponibilizam um 
telefone de urgência – tal como um celular – para efetivamente receber ligações telefô-
nicas de um grupo mais restrito (gerência e equipe técnica);
 1 INOC-DBA: O INOC-DBA (Hotline Phone System) é uma infraestrutura VoIP para comu-
nicação direta entre Centros de Operação de Redes (NOCs) e Grupos de Tratamento de 
Incidentes de Segurança (CSIRTs). Deseja-se, com isso, que todos os provedores e grandes 
redes conectadas na internet sejam facilmente contatados por quaisquer outros prove-
dores do mundo. Para isso, cada participante do INOC-DBA possui um ramal – que corres-
ponde ao número do próprio AS (Sistema Autônomo, na sigla em inglês) – e pode receber 
e solicitar ligações de forma gratuita. No Brasil, o Comitê Gestor da Internet no Brasil 
participa do projeto fornecendo gratuitamente telefones VoIP para todos os ASes e CSIRTs 
reconhecidos. Mais informações: http://www.ceptro.br/CEPTRO/MenuCEPTROSPInocDba;
 1 E-mail: a maneira mais utilizada para comunicação entre o CSIRT e a comunidade de 
atuação é, sem dúvida, o e-mail. Sabemos das vantagens da comunicação via e-mail: 
rapidez, comodidade e fácil identificação do remetente. No contexto do CSIRT, a comuni-
cação via e-mail é essencial. Logo, faz-se necessário que o CSIRT envie e, principalmente, 
receba todos os e-mails destinados ao time. Recomenda-se que nenhum tipo de filtro seja 
utilizado na caixa de entrada do e-mail, tal como antispam e antivírus (filtro de anexos). 
Afinal, a comunidade pode encaminhar um spam para a equipe analisar, e até mesmo 
repassar arquivos maliciosos executáveis. De forma complementar, recomenda-se a utili-
zação de e-mails impessoais, ou seja, é importante a instituição ter um e-mail de contato, 
como por exemplo “csirt@instituicao”. De forma resumida, as boas práticas recomendam:
 2 Utilizar e-mail impessoal;
 2 Não usar filtragem na caixa de e-mail (antispam);
 2 Cuidado com cotas e limites de e-mails recebidos ou enviados;
 2 Divulgar o e-mail institucional no website; 
 2 Manter o sistema de WHOIS apontado para um e-mail válido; 
 2 Direcionar os múltiplos e-mails (alias) do CSIRT para uma caixa postal única. 
 1 Boletins: alguns CSIRTs costumam repassar informações de segurança para a sua comu-
nidade por meio de listas de e-mails ou mesmo via boletins impressos. 
A divulgação de informações que afetam especialmente a comunidade de abrangência 
– como, por exemplo, atualização de sistemas utilizados e dicas de segurança incluindo 
configuração segura – é uma maneira efetiva de evitar incidentes de segurança;
 1 Website: é uma maneira eficaz de divulgar informações para a comunidade de abrangência. 
Além de disseminar uma variedade de informações como boletins e notícias, um website 
serve para disponibilizar procedimentos e formas de contato do CSIRT. Alguns times também 
disponibilizam ferramentas e outros softwares úteis para a comunidade. Embora seja 
praticamente mandatório todo CSIRT ter um website, é importante zelar por sua segurança. 
Afinal, um defacement no site de um CSIRT pode causar prejuízos à imagem do time;
Defacement:
Ataque que tem como 
objetivo alterar sem 
autorização o conteúdo 
de uma página web.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
10
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
 1 Conferências: participar de conferências ou mesmo promover conferências e seminários 
é mais uma forma de comunicar-se com a comunidade de atuação. A apresentação de 
trabalhos em conferências também é importante. Ter membros da equipe apresentando 
trabalhos em eventos pode aumentar a reputação do time e ajudar no processo de divul-
gação de informações para a comunidade;
 1 Cursos: a realização de cursos para a comunidade com foco em segurança é uma prática 
adotada por alguns times. A realização de cursos na própria instituição também serve para 
intensificar e disseminar a própria política de segurança da instituição.
É importante lembrar que a comunicação entre um CSIRT e as demais partes envolvidas tipi-
camente envolvem informações sigilosas. Questões relativas à segurança das informações – 
tráfego de dados e armazenamento das informações – devem ser consideradas pela equipe 
no momento em que um novo canal de comunicação é instaurado.
Aspectos operacionais de um CSIRT
Os aspectos operacionais de um CSIRT definem especificamente qual será a forma de 
atuação da equipe tanto no âmbito operacional quanto no organizacional. 
As particularidades de cada CSIRT têm influência direta na estrutura e operação da equipe. 
Por exemplo, aspectos como a comunidade atendida, natureza das informações e modelo 
gerencial da equipe definirão a forma como os incidentes serão tratados internamente.
Na sequência, são discutidos os principais aspectos operacionais, considerando as particu-
laridades dos CSIRTs, incluindo tipos, modelos estruturais e autonomia da equipe:
q 1 Tipos;
 1 Modelos;
 1 Autonomia.
Tipos
Um CSIRT pode ser classificado segundo a sua área de atuação. A abrangência de atuação dos 
CSIRTs está intimamente ligada ao setor de atuação. Principais categorias de CSIRTs:
 1 CSIRTs internos: são os CSIRTs que cuidam somente dos incidentes da sua instituição e, 
em alguns casos, não são publicamente divulgados. Exemplo: instituições financeiras;
 1 CSIRTs de coordenação: são times que atuam como intermediadores. Atuam repas-
sando informações e medindo tendências. Tais CSIRTs, tipicamente, não possuem 
nenhum poder sobre os grupos com os quais interagem. Exemplo: CSIRT nacional;
 1 CSIRTs de vendedores: são os CSIRTs que representam os fabricantes de hardware ou 
software e que tratam das vulnerabilidades existentes nos seus produtos; 
 1 CSIRTs de consultoria: prestam os serviços relacionados com a resposta de incidentes 
de forma terceirada. Esse tipo de CSIRT é utilizado por empresas que não possuem o seu 
próprio CSIRT;
 1 CSIRTs de pesquisa: são grupos especializados em pesquisa na área de segurança, tipi-
camente relacionado com estudo de vulnerabilidades. 
Modelos
Apesar de atuarem na mesma área, os CSIRTs podem possuir modelos estruturais dife-
rentes. Principais estruturas organizacionais utilizadas na implantação dos CSIRTs:
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
11
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
 2 CSIRTs centralizados: a equipe possui membros dedicados às atividades do CSIRT, 
sendo estabelecida de forma centralizada no âmbito da organização;
 2 CSIRTs descentralizados: a equipe fica geograficamente distribuída em diferentes 
cidades ou, até mesmo, países. Possui equipe dedicada às atividades de tratamento 
e resposta aos incidentes de rede computacionais, podendo atuar operacionalmente 
de forma independente, porém alinhada com as diretrizes estabelecidas pela coorde-
nação central;
 2 CSIRTs mistos: trata-se da junção entre modelos centralizados e descentralizados. 
Nessa estrutura, a equipe centralizada é responsável por criar as estratégias, geren-
ciar as atividades e distribuir as tarefas entre as equipes descentralizadas;
 2 CSIRTs de crise: a equipe é reunida durante a emergência de um processo de crise, 
sendo composta por especialistas de cada área, deixando de existir após a conclusão 
de solução do incidente.
Um desafio crescente para os CSIRTs está em acompanhar o que acontece na área de 
segurança durante as 24h do dia. Um CSIRT descentralizado ou misto possui a vantagem 
de possuir representantes em diversos fusos horários, permitindo, assim, cobertura mais 
ampla dos acontecimentos.
Autonomia 
Outro fator crítico como aspecto fundamental de organização é a autonomia do CSIRT. 
A autonomia descreve o nível de responsabilidade e também o escopo de atuação da equipe 
sobre atividades relacionadas ao tratamentode incidentes. A classificação dos diferentes 
níveis de autonomia é apresentada a seguir:
 1 Autonomia Completa: uma equipe tem autonomia plena para tomar as decisões e executar 
as medidas necessárias para solucionar um incidente de segurança. As decisões podem 
ser tomadas pela equipe sem a necessidade de aprovação de níveis superiores de gestão;
 1 Autonomia Compartilhada: uma equipe com autonomia compartilhada deve atuar 
em conjunto com os outros setores da organização. Para isso, a equipe participa do 
processo de tomada de decisão sobre as ações a serem implementadas com outros 
membros da organização;
 1 Sem Autonomia: a equipe sem autonomia só pode agir com autorização expressa de um 
responsável previamente designado. Nessa categoria a equipe apenas pode recomendar 
os procedimentos a serem executados; no entanto, não tem participação no processo 
final de decisão.
Definição de incidente
qUm incidente de segurança pode ser definido como qualquer evento adverso, confirmado 
ou sob suspeita, que pode comprometer em algum aspecto a segurança computacional. 
Em geral, toda situação na qual um ativo de informação está sob risco é considerado um 
incidente de segurança. 
A definição de um incidente de segurança é fundamental para as operações de um CSIRT. 
Apesar de muitas vezes ser abstrata, a definição deve ter relação com as atividades e área 
de atuação do próprio CSIRT. Deve-se, por exemplo, determinar que tipos de eventos serão 
tratados pela equipe. 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
12
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
qExemplos comuns de incidentes incluem:
 1 A desfiguração do portal web de uma instituição;
 1 O vazamento de informações confidenciais;
 1 A propagação de um vírus por meio da lista de contatos de e-mails;
 1 O envio de spam;
 1 O comprometimento da rede;
 1 A disponibilidade de um website.
Na sequência são listadas algumas definições de incidentes de segurança descritos por 
diferentes times e especificações de segurança:
 1 CAIS/RNP (http://rnp.br/cais/): 
“Um incidente de segurança é resultante do mau uso dos recursos computacionais.”;
 1 CERT/CC (http://www.cert.org/tech_tips/incident_reporting.html): 
“Um ato de violação explícita ou implícita de uma política de segurança.”;
 1 Terena (www.terena.nl/activities/tf-csirt/iodef/docs/i-taxonomy_terms.html): 
“Um incidente de segurança é um evento que envolve uma violação de segurança.”;
 1 NIST (disponível em SP 800-3: Establishing a Computer Security Incident Response 
Capability): “Qualquer evento adverso em que aspectos da segurança computacional 
podem ser ameaçados”;
 1 RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt): “Qualquer evento adverso que pode com-
prometer algum aspecto da segurança de computadores ou da rede.”;
 1 DSIC (http://dsic.planalto.gov.br/legislacaodsic/53): “Qualquer evento adverso, confir-
mado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das 
redes de computadores.”
Incidentes de segurança podem facilmente resultar em impacto significativo para uma insti-
tuição se não manejados de forma correta. De fato, a severidade de um incidente é mensurada 
segundo o impacto que causa no processo de negócio de uma instituição. Por exemplo, um 
incidente que indisponibiliza um site de e-commerce possui alta severidade para a instituição.
qTodo incidente deve ser tratado seguindo uma metodologia previamente definida pelo 
CSIRT. Essa metodologia é chamada de processo de resposta a incidente e será poste-
riormente tratada em nosso curso.
Passos para criação de um CSIRT
Conforme descrito anteriormente, existem diferentes fatores que devem ser observados 
para a criação de um CSIRT. Além de questões políticas, como aprovação organizacional, é 
importante o CSIRT ser reconhecido como atuante na própria comunidade.
qNo que tange a questões organizacionais, é importante considerar as seguintes questões 
durante o processo de formação de um CSIRT:
 1 Abrangência operacional;
 1 Missão;
 1 Serviços;
 1 Modelo organizacional;
 1 Recursos.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
13
 
Ca
pí
tu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
CS
IR
Ts
De forma resumida, temos nas etapas iniciais a definição do escopo de atuação, bem como 
as metas e objetivos do CSIRT. A identificação da comunidade a ser atendida é fundamental, 
pois possibilita mapear as necessidades e serviços necessários para atendê-la. Já o modelo 
organizacional – incluindo o tipo e estrutura – determinam a estratégia administrativa a ser 
implementada aos serviços. Por fim, e não menos importante: já na fase de estabelecimento 
de um novo CSIRT deve-se assegurar os recursos necessários para manter o time operacional, 
observando recursos da infraestrutura (equipamentos) e pessoal (equipe). Do contrário, as 
etapas anteriores não serão efetivas.
Fóruns de CSIRTS 
Assim como algumas categorias de instituições, os CERTs também se organizam em fóruns 
e entidades que buscam a colaboração entre os times. As principais entidades que podem 
servir de ponto de contato para localizar times são: 
q 1 FIRST: Forum of Incident Response Security Teams – 
http://www.first.org
 1 APCERT: Asian Pacific Computer Emergency Response Teams – 
http://www.apcert.org
 1 CSIRTs: European Trusted Introducer CSIRTs Members – 
http://www.ti.terena.nl 
 1 OIC: Organization of the Islamic Conference – 
http://www.oic-oci.org/
O Forum of Incident Response Security Teams (FIRST) é uma das organizações mais antigas. 
O FIRST é uma organização profissional, sem fins lucrativos, composta por diferentes CSIRTs. 
Os times de segurança que a compõem são muito heterogêneos: de times nacionais (CERTs), 
CSIRTs de vendedores, CSIRTs internos a CSIRTs comerciais. O FIRST promove eventos anuais 
para membros onde é possível estabelecer contatos com outros times e também capacitar a 
equipe nos diversos seminários e cursos disponibilizados. É importante notar que o FIRST é uma 
associação de CSIRTs, mas não atua como um CSIRT. Ou seja, o FIRST não responde a incidentes 
de segurança, mas pode ser útil para identificar os responsáveis por recursos de internet.
Leitura recomendada:
 1 Creating an Incident Response Team: 
http://www.educause.edu/ir/library/pdf/SEC0302.pdf
 1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC): 
http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf
 1 RFC 2.350: Expectations for Computer Security Incident Response: 
http://www.ietf.org/rfc/rfc2350.txt
 1 Forming an Incident Response Team: 
http://www.auscert.org.au/render.html?it=2252
 1 Departamento de Segurança da Informação e Comunicações (DSIC): Criação de equipes 
de tratamento e resposta a incidentes em redes computacionais – ETIR. Disponível em: 
http://dsic.planalto.gov.br/legislacaodsic/53
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
14
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
15
 
Ca
pí
tu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
CS
IR
T
2
Gerenciamento do CSIRT
Discutir questões relacionadas aos requisitos estruturais de um CSIRT; Conhecer os 
fatores de sucesso na criação de um CSIRT; Aprender os conceitos relacionados ao 
gerenciamento de um CSIRT.
 
Gerenciamento de CSIRTs; Visão estrutural do CSIRT; Melhores práticas e condutas 
apropriadas.
 
 
Introdução
qO gerenciamento de um CSIRT, assim como outras organizações, envolvem etapas téc-
nicas e administrativas. Todas essas etapas possuem um único objetivo: assegurar que o 
CSIRT cumpra a própria missão previamente definida. 
De forma mais específica, busca-se assegurar que os serviços relacionados à resposta a inci-
dentes de segurança sejam efetivamente prestados para a sua comunidade de abrangência.
Nestecontexto, este capítulo discutirá tópicos relacionados ao gerenciamento de um CSIRT, 
tal como: gerenciamento da equipe, comunicação, requisitos estruturais e fatores de sucesso.
Código de conduta
O código de conduta define um conjunto de premissas que balizam as ações e comporta-
mentos de um time de segurança. 
O mesmo código aplica-se a todos os membros da organização, estendendo-se aos serviços 
prestados e aos demais aspectos operacionais, tais como a comunicação e o zelo pelas 
informações. 
qDe forma específica, o código de conduta vincula princípios e valores da própria insti-
tuição com atividades desempenhadas pela equipe.
Princípios como profissionalismo, confiabilidade e liderança influenciam na forma com que o 
CSIRT é visto externamente.
Um bom código de conduta descreve princípios para a interação com os usuários dos 
serviços do CSIRT e também a maneira com que as informações são tratadas internamente 
pela equipe. Sem o devido cuidado para lidar com as informações sensíveis, é provável que 
as entidades parceiras possam hesitar em divulgar dados para o seu time em futuros inci-
dentes de segurança.
o
bj
et
iv
o
s
conceito
s
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
16
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
A conduta profissional com que as informações são tratadas por um CSIRT é evidentemente 
particular a cada instituição. Sabe-se que existem alguns CSIRTs que optam por regras mais 
restritivas. Um CSIRT militar, por exemplo, implementa alto nível de sigilo com as informa-
ções que gerencia. Por outro lado, um CSIRT acadêmico pode implementar um código de 
conduta mais flexibilizado no que tange ao armazenamento de informações de segurança. 
Observa-se, entretanto, que a grande maiorias dos CSIRTs possuem políticas e procedi-
mentos que classificam as informações ao menos em duas categorias: dados públicos e 
dados sigilosos. Já em uma solução mais robusta, podem-se classificar as informações em 
uma estrutura multinível. 
qA seguir temos o exemplo de uma estrutura de classificação de informações de segurança.
 1 Classificado: são informações sigilosas, onde apenas o CSIRT tem conhecimento do 
incidente. Da mesma forma, a circulação das informações é restrita aos membros do 
time de segurança. Esse tipo de classificação é utilizado em eventos de segurança 
especiais – ou ainda em incidentes com escopo bem definido;
 1 Parcialmente classificado: são dados que possuem certo nível de restrição. Tais 
informações são intercambiadas apenas com entidades com alto nível e confiança, tal 
como CSIRTs com bom relacionamento;
 1 Não classificados: são informações que podem ser divulgadas na forma pública. 
Para isso, deve-se avaliar o teor das informações a serem classificadas como “Não 
classificado”, a fim de evitar prejuízos às partes envolvidas. Na maioria das vezes, 
dados inseridos nessa categoria possuem caráter informacional, como, por exemplo, 
divulgação de documentação ou estatísticas públicas do CSIRT.
Cada nível de classificação também especifica como as informações devem ser gerenciadas 
sob o ponto de vista operacional. Em níveis mais restritivos, por exemplo, todas as informa-
ções devem ser cifradas, tanto na transmissão quanto no armazenamento.
Independentemente do modelo de classificação de informações adotado, é fundamental 
que o CSIRT mantenha-se consistente e estenda a classificação para os demais serviços e 
elementos relacionados ao processo de resposta a incidentes. 
Um exemplo consiste na gestão das informações de contatos técnicos. Por ser um ponto de 
contato para incidentes de segurança, espera-se que um CSIRT tenha um bom relaciona-
mento com entidades externas. Na maioria das vezes, a equipe do CSIRT conhece pessoas 
de outros times que podem auxiliar em uma eventual emergência. Esses contatos, que não 
são públicos, e sim fruto de uma boa relação com outras equipes, devem ser tratados de 
forma adequada segundo a conduta o seu próprio CSRIT. 
Considere a seguinte situação:
“O seu CSIRT recebe uma ligação de um colaborador externo (entidade A), em caráter de 
urgência, solicitando os contatos mais específicos de uma instituição (entidade B), pois está 
sofrendo ataques.”
O código de conduta de sua instituição deve prever possíveis ações que contemplem esse 
exemplo. Nesse caso, deve-se analisar se o código de conduta permite encaminhar os seus 
contatos mais específicos a entidades externas. 
qPossíveis soluções:
 1 O CSIRT não encaminha os dados (da entidade B), pois faz parte do seu código de 
conduta manter contatos mais específicos de forma confidencial;
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
17
 
Ca
pí
tu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
CS
IR
T
q 1 O CSIRT encaminha contatos mais específicos para o colaborador externo (entidade A);
 1 O CSIRT atua como intermediário, repassando a informação do ataque diretamente 
para a entidade B.
A divulgação de informações também faz parte do código de conduta do CSIRT. Os meios 
para divulgar informações serão tratados posteriormente por este curso; no entanto, 
cabe ao código de conduta definir uma política para a divulgação de informações. Essa 
política deve descrever o conjunto de informações que podem ser divulgadas no contexto 
de resposta a incidentes. Sem a definição dessa política, a equipe pode não ter orientação 
necessária para gerenciar o processo de resposta a incidentes.
Alguns times tratam todas as informações como estritamente confidencial, evitando o 
compartilhamento das informações fora do âmbito dos membros da equipe. No entanto, 
essa política estrita não pode ser garantida em todos os casos. Por exemplo, em casos onde 
é necessária a interação da Justiça. 
qLogo, é desejável que, independentemente da política utilizada, sejam consideradas 
algumas questões, como:
 1 Que time de informação o CSIRT divulgará quando outro CSIRT notificar um incidente 
envolvendo a comunidade de sua responsabilidade?
 1 Quando necessária interação com a Justiça, o seu CSIRT poderá prover informações 
necessárias de forma direta?
 1 Que tipo de informações serão divulgadas de forma pública?
 1 Todo incidente será notificado a um CSIRT de coordenação, como por exemplo, CERT.br?
 1 As informações de incidentes externos serão ocultadas, como por exemplo, saniti-
zação de IPs de sua rede?
Todas essas decisões fazem parte do código de conduta de um CSIRT e devem ser consi-
deradas nas etapas iniciais do estabelecimento de um CSIRT na comunidade. É importante 
notar que essa política de conduta é algo que pode ser alterado. Em muitos times, é comum 
que novas questões sejam contempladas e aprimoramentos sejam incorporados com a 
aquisição de experiência.
Equipe
Constituir uma equipe é uma das primeiras coisas a serem pensadas na etapa de estabe-
lecimento de um CSIRT. De fato, a equipe tem papel fundamental nas atividades do CSIRT, 
dando suporte às políticas internas, procedimentos e código de conduta intrínseco à ope-
ração de um time.
Sabe-se que a definição de uma equipe passa por diversos aspectos, incluindo questões 
técnicas, gerenciais e, essencialmente, a alocação de recursos financeiros. 
Do contrário, a equipe não poderá prover de forma adequada os serviços para a comunidade 
e contemplar a missão do próprio CSIRT. 
qAlguns fatores também devem ser considerados no momento da definição de uma equipe:
 1 Número de pessoas necessárias;
 1 Habilidades necessárias;
 1 Habilidades desejadas;
 1 Níveis hierárquicos;
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
18
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
q 1 Carga horária;
 1 Rotatividade;
 1 Ética.
Estimar o número de pessoas necessárias para uma equipe, sobretudo em etapas iniciais 
de operação, é uma tarefa complexa. O tamanho da equipe deve considerar um número 
ideal de profissionais necessáriospara realizar as atividades de um CSIRT, incluindo equipe 
técnica e gerencial. 
qO tamanho da equipe deve considerar aspectos como:
 1 Recursos financeiros; 
 1 Recursos humanos;
 1 Serviços prestados;
 1 Comunidade a ser atendida.
Sabe-se, no entanto, que uma vez que o time de segurança estiver estabelecido, novos 
serviços são demandados pela comunidade. Além disso, o conjunto de serviços oferecidos 
deve ser aprimorado, o que pode demandar mais trabalho que o inicialmente previsto. 
Portanto, definir o tamanho da equipe tem influência direta na qualidade das atividades 
prestadas pelo CSIRT.
Nos primeiros anos, muitos CSIRTs atuam com uma equipe minimizada e, com o passar 
do tempo, novos membros ingressam no time, aprimorando os serviços prestados. A fim 
de adequar o tamanho da equipe ao volume de trabalho demandado, recomenda-se fazer 
uma estimativa com base nas notificações recebidas por outros times e também no número 
de usuários conectados na rede, ou seja, a base de usuários que a equipe atenderá. Esse 
número necessário de pessoas na equipe deve considerar também o crescimento de noti-
ficações – que pode chegar a 100% ao ano – e também possíveis expansões da instituição. 
Não existe relação direta entre número de pessoas atendidas versus número de pessoas 
na equipe. Isso pode variar muito, afinal, está relacionado com a missão do CSIRT, onde é 
descrita a comunidade atendida e o conjunto de serviços realizados.
A equipe deve ser composta por profissionais com diferentes tipos de habilidades. Além de 
habilidades técnicas necessárias para a execução das tarefas de um CSIRT, é importante que 
os integrantes da equipe tenham habilidades administrativas e gerenciais. 
qUma equipe multifacetada inclui profissionais com expertises em diferentes áreas:
 1 Especialistas em tecnologia de segurança;
 1 Administradores de sistemas;
 1 Engenheiros de redes;
 1 Especialistas em suporte;
 1 Gerente;
 1 Conselho legal.
Evidentemente, as habilidades necessárias precisam estar alinhadas com os serviços ofe-
recidos. As habilidades técnicas desejadas na operação de um CSIRT requerem o entendi-
mento da tecnologia utilizada, tal como hardware e software. 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
19
 
Ca
pí
tu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
CS
IR
T
qMesmo assim, existem alguns conhecimentos que são essenciais para a equipe que lida 
com incidentes de segurança:
 1 Protocolos de redes (HTTP, MTA, DNS e FTP);
 1 Sistemas Operacionais;
 1 Infraestrutura de redes (roteadores e comutadores);
 1 Ferramentas de segurança (IDS e firewall);
 1 Criptografia;
 1 Aplicações de rede;
 1 Princípios básicos de segurança;
 1 Programação.
De fato, as habilidades técnicas fazem parte dos atributos necessários para os integrantes 
de uma equipe. Porém, nem todos os membros do time necessitam ter alto nível de conheci-
mento em todas as áreas técnicas. 
É fundamental, entretanto, que a equipe consiga lidar com os incidentes reportados pela 
sua comunidade. Na prática, os outros departamentos da instituição só recorrerão ao CSIRT 
uma vez que reconheçam as competências técnicas do time para auxiliar de forma correta 
nas necessidades identificadas.
Além das habilidades técnicas, as habilidades interpessoais são igualmente importantes. 
Em alguns casos, é mais fácil aprimorar as habilidades técnicas dos integrantes de uma 
equipe do que trabalhar as habilidades interpessoais. 
As habilidades interpessoais são exigidas nas mais diferentes etapas dos serviços prestados 
por um CSIRT e não devem ser menosprezadas. A equipe está constantemente interagindo 
com times de segurança e com os demais departamentos da instituição. Sabe-se da impor-
tância da interação com a comunidade de atuação do CSIRT, afinal, a reputação do CSIRT 
depende do profissionalismo empreendido pela equipe. 
qA seguir, algumas características interpessoais desejadas:
 1 Comunicação verbal: comunicar de maneira clara e diplomática, e também saber ouvir;
 1 Comunicação não verbal: leitura, escrita e linguagem corporal (para palestras e eventos);
 1 Negociação: atuar com outros integrantes a fim de encontrar um resultado mutua-
mente aceitável;
 1 Resolução de problemas: trabalhar em equipe para identificar, definir e solucionar 
problemas, mesmo com restrições de tempo e recursos;
 1 Assertividade: comunicar valores e opiniões de forma clara e confiante.
Os melhores profissionais são aqueles que aliam habilidades técnicas a habilidades 
interpessoais, muito embora não exista um conjunto único de habilidades desejadas 
para cada time. 
É necessário avaliar a comunidade e a natureza dos serviços prestados, a fim de identificar 
as habilidades necessárias. Alguns times optam por profissionais especialistas, outros, 
porém, optam por profissionais generalistas.
Dependendo do 
tamanho da equipe, 
pode-se organizar o 
grupo por áreas, onde 
um responsável com 
bom nível técnico pode 
orientar os menos 
experientes. Adicional-
mente, as habilidades 
técnicas podem ser 
aprimoradas através 
de cursos e treina-
mentos, fazendo 
com que integrantes 
da equipe obtenham 
novas habilidades.
l
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
20
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
Treinamento e desenvolvimento da equipe
O treinamento dos profissionais do CSIRT tem como objetivo manter a equipe preparada 
para atuar no processo de resposta. Dessa forma, os integrantes do grupo podem apri-
morar suas habilidades e adquirir novas aptidões, de modo a prestar serviços de forma mais 
efetiva para a comunidade de atuação. 
qAfinal, uma equipe com conhecimento das novas tecnologias e tendências de segurança pode 
identificar mais rapidamente as características de incidentes até então não identificadas.
O processo de desenvolvimento das habilidades da equipe deve começar com uma ava-
liação prévia das habilidades existentes no time e habilidades demandadas. Esse processo 
deve avaliar cada membro da equipe de forma individual e priorizar demandas mais críticas 
para o grupo. Como resultado, pode-se efetuar um treinamento com foco no indivíduo 
ou, ainda, endereçado às limitações da equipe como um todo, tal como análise de riscos e 
comunicação em inglês.
qProcedimentos que podem ser implementados para o desenvolvimento da equipe:
 1 Estudo de procedimentos internos: ler e atualizar os procedimentos internos utili-
zados pelo CSIRT é uma forma de aprimorar habilidades individuais, sobretudo para 
os novos membros da equipe. Sabe-se que os procedimentos usados na resposta a 
incidentes são dinâmicos e necessitam de constantes atualizações. Logo, a constante 
revisão dos procedimentos internos é benéfica para o time – que mantém o material 
atualizado – e também para os integrantes que revisitam os procedimentos utilizados 
nos incidentes passados;
 1 Programa de tutoria: a figura de um tutor é utilizada na maioria dos CSIRTs no 
treinamento de novos integrantes. Para isso, é designado um profissional da equipe 
com mais experiência para auxiliar um novo integrante. O processo de tutoria deve 
ser contínuo, até o tutor assegurar-se de que o novo integrante tenha proficiência e 
consiga lidar, sem cometer erros custosos, com as tarefas demandadas;
 1 Estudo individual: alguns CSIRTs consideram disponibilizar horário de trabalho para 
que o profissional estude temas específicos – tal como análise forense – para serem 
aplicados no processo de tratamento de incidentes. Para isso, a instituição deve 
prover o material técnico necessário, tal como periódicos, revistas e livros;
 1 Treinamento externo: alguns CSIRTs optam por treinar e desenvolver a equipe 
usando instituições externas com boa reputação no mercado. Muitas vezes, trata-se 
de uma questão pontual, onde novas habilidades precisam ser incorporadas à equipe 
em um curto espaço de tempo.
Terceirização de serviçosMuitas vezes, a dificuldade de encontrar profissionais da área e estabelecer uma equipe 
de segurança acompanhando as mudanças da indústria tem fomentado a contratação de 
serviços externos, ou seja, a terceirização de serviços relacionados à segurança.
Cada instituição deve tomar as decisões que julgar mais convenientes em relação à tercei-
rização de serviços relacionados ao tratamento de incidentes de segurança. Alguns CSIRTs 
optam, por exemplo, em terceirizar etapas nas quais a equipe não tem expertise, tal como 
análise de malware. Por outro lado, outros times optam por terceirizar o CSIRT como um 
todo, atribuindo a gerência de incidentes de segurança para uma entidade externa. Alguns 
cenários onde esse modelo é comumente utilizado são em bancos e outras instituições 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
21
 
Ca
pí
tu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
CS
IR
T
financeiras. Isso se deve, basicamente, ao grande volume de incidentes e os custos para 
manter um corpo técnico especializado na instituição.
Antes de decidir pela terceirização de serviços, é fundamental avaliar as vantagens e desvan-
tagens de cada modelo. 
qNesse contexto, alguns fatores devem ser considerados, tais como:
 1 Custos e riscos associados; 
 1 Dependência tecnológica;
 1 Qualidade do serviço prestado;
 1 Questões legais;
 1 Questões operacionais;
 1 Segurança das informações; 
 1 Representatividade.
A terceirização pode oferecer significativa redução dos custos enquanto estiver provendo 
serviços similares com economia de recursos humanos e de infraestrutura. Além disso, 
empresas terceirizadas geralmente definem um Service Level Agreement (SLA) no qual 
pode ser estipulado o tempo de atendimento e demais métricas-chave que podem manter 
a sua instituição segura com relação aos requisitos de qualidade. Adicionalmente, é possível 
acompanhar as atividades do serviço contratado por meio de relatórios e, até mesmo, em 
tempo real, tendo acesso ao sistema utilizado. Por outro lado, a terceirização de serviços 
implica em disponibilizar informações sensíveis a terceiros.
Essas informações podem ser estratégias para segurança da instituição e também sob o ponto 
de vista competitivo. Portanto, faz-se necessário avaliar, em âmbito operacional e gerencial, os 
riscos inerentes à terceirização de serviços. É importante lembrar que a instituição que con-
trata os serviços continua sendo responsável por eventos de segurança perante a lei. 
Para pensar 
O armazenamento de arquivos na “nuvem” pode ser considerado terceirização 
de recursos?
Contratação 
A contratação é sempre um processo delicado, sobretudo para um CSIRT onde informações 
sensíveis à instituição são manejadas. Para isso, faz-se necessário que o time de segurança 
tenha um processo com etapas bem definidas para contratação de novos integrantes.
O processo de contratação é uma atividade que envolve outros departamentos da instituição. 
O departamento de recursos humanos e o departamento jurídico, por exemplo, são setores 
com os quais o CSIRT vai interagir na maioria das etapas do processo de contratação. 
qJá no processo de seleção, outros departamentos podem ser envolvidos. Evidentemente, 
cada instituição tem os seus próprios procedimentos internos de seleção que consi-
deram a própria cultura da instituição; no entanto, existem algumas etapas que devem 
ser consideradas, tal como:
 1 Análise curricular; 
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
22
 
Tr
a
ta
m
e
n
to
 d
e
 I
n
ci
d
e
n
te
s 
d
e
 S
e
g
u
ra
n
ç
a
q 1 Entrevista pessoal;
 1 Questões contratuais;
 1 Questões éticas.
Dependendo da natureza da organização e da natureza das funções a serem desempe-
nhadas, outros cuidados podem ser demandados. Isso inclui a aprovação específica das 
altas hierarquias da instituição e, até mesmo, a verificação de antecedentes criminais.
As etapas do processo de seleção devem ser aptas a identificar os pontos fortes dos candi-
datos, bem como as limitações do profissional. Com isso, a equipe pode avaliar se as limita-
ções do candidato podem ser endereçadas através de treinamento e, por fim, identificar se 
o candidato está apto a realizar as funções demandadas. 
Uma entrevista pessoal com o candidato sempre é recomendada. O ideal é que essa 
entrevista seja realizada com a presença de membros da equipe do CSIRT. Dessa forma, 
questões técnicas podem ser esclarecidas e habilidades interpessoais, avaliadas. Na entre-
vista também devemos deixar claro as responsabilidades e benefícios demandados para a 
equipe. Dessa forma, ambas as partes podem ajustar as suas expectativas. 
qAlgumas questões que merecem ser esclarecidas:
 1 Atividades a serem desenvolvidas;
 1 Plano de carreira; 
 1 Carga horária;
 1 Possibilidade de viagens. 
Além de questões típicas relativas ao horário de trabalho e atividade a ser desenvolvida, a 
entrevista de seleção também deve tratar aspectos operacionais, tal como horas extras, tra-
balho em regime de sobreaviso e necessidade de viagens. Com isso, o candidato e o CSIRT 
podem avaliar a adequação do perfil em função ao cargo.
Após a contratação, entra em ação um conjunto de tarefas que visam integrar o funcionário 
à equipe e inseri-lo na cultura institucional. Por fim, também é parte do processo de contra-
tação treinar o funcionário com procedimentos internos e rotinas da equipe. 
Do ponto de vista administrativo, o CSIRT deve manter a equipe motivada e com recursos 
que permitam a evolução técnica e interpessoal dos integrantes do time. 
qAlgumas formas de aprimorar e assegurar a evolução dos integrantes da equipe compreende: 
 1 Garantir financiamento no plano de trabalho anual para treinamento de todos os 
membros da equipe, incluindo equipe técnica e equipe gerencial;
 1 Ter acesso a livros e artigos relevantes para a área de tratamento de incidentes, per-
mitindo que os membros do time expandam suas habilidades;
 1 Assegurar que membros da equipe com pouca experiência sejam acompanhados de perto 
por membros mais experientes, fazendo com que o esforço de aprendizado seja efetivo;
 1 Participar de eventos com outros CSIRTs, pois é uma boa maneira de trocar expe-
riências práticas;
 1 Encorajar membros da equipe a realizar cursos (pós-graduação, mestrado ou douto-
rado) em áreas relativas ao processo de incidentes, tais como criptografia, segurança 
da informação, sistemas operacionais e redes de computadores.
 Alysson Santos Ferreira 036.919.841-77
https://esr.rnp.br
23
 
Ca
pí
tu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
CS
IR
T
 Para pensar 
Você contrataria estagiários ou bolsistas para atuar na resposta a incidentes?
Procedimentos de ingresso e desligamento
A formação de um time de resposta a incidentes não é o único desafio associado à resposta 
a incidentes. Com o passar do tempo, a equipe evolui tecnicamente e novos conhecimentos 
são incorporados ao CSIRT. Alguns membros do time passam para cargos gerenciais e novos 
ocupam as lacunas existentes na equipe. Adicionado a isso, é comum que membros da 
equipe se desliguem ou ainda sejam desligados do CSIRT.
Nesse contexto, um CSIRT deve estar preparado para lidar com a rotatividade e com a perda 
de pessoas-chave na instituição. 
qUma forma de lidar com a rotatividade da mão de obra é implementar uma política de 
rotatividade de atividades na própria equipe. Assim, evita-se que uma única pessoa 
possua todo o conhecimento de uma determinada atividade ou processo. 
Por exemplo, por um período determinado o funcionário responsável por tratar incidentes 
de segurança troca de posto com o funcionário responsável pelas ferramentas de monito-
ração. Desse modo, o conhecimento das atividades do CSIRT passa a ser homogeneizado 
entre os integrantes da equipe.
Devido à natureza sensível das informações que passam por um CSIRT, torna-se necessário que 
procedimentos especiais sejam adotados no