Próximo
Um dia de crise...
Roger, são 08h12 da manhã e recebemos alertas de severidade máxima simultâneos!!
Sim, eu vi ontem... Só estou achando o servidor de arquivos um pouco lento, mas deve ser só o backup de rotina terminando. Ué... Roberto, espera. Minha conexão com o diretório de rede caiu.
Começar
O que você irá aprender:
Nessa sessão você irá navegar na matriz de decisão estratégica e tática do incidente simulado de ransomware.
Liderança e papéis estratégicos.
Classificação rápida de riscos.
Gestão financeira e regulatória.
Como lidar com uma crise cibernética.
Resiliência e governança futura.
continue
Contexto
Você está trabalhando normalmente... O relógio marca exatamente 08h15. O silêncio do escritório é quebrado pelo som de notificações simultâneas. Em cada diretório, em cada pasta de rede da companhia, surge o "cartão de visitas" do caos: um arquivo .README. O que está acontecendo?
continue
Clique nos círculos para revelar uma conversa!
O servidor de arquivos não responde. E... espera. Todo mundo aqui na minha equipe está com o mesmo problema! Olha isso, em cada pasta, em vez dos arquivos... só tem esse '.README'.
".README"? O que diz esse arquivo? Abre ele. Agora!
.README
📧
continue
continue
continue
Clique nos círculos para revelar uma conversa!
Parece um ataque cibernético, não estou conseguindo abrir nada.
O sistema de faturamento da matriz acabou de ejetar todos os usuários! Ninguém mais loga. O banco de dados de pedidos está... Está virando fumaça!
Cada minuto com o site fora do ar são centenas de milhares de reais! O conselho quer saber se a gente paga ou se tem backup!
Eles não estão só criptografando... eles estão roubando! Exfiltração de dados em massa. Nomes, CPFs, cartões... Se isso vazar, a LGPD vai destruir a gente antes mesmo do prejuízo financeiro.
continue
O NOC (Network Operations Center) detectou falhas críticas.
Os sistemas Glorian (gestão de energia) e Elipse (controle PRI) estão travados. O Analista do SOC confirma: é um ataque de ransomware se espalhando via SMB. Ativos vitais do BIA estão travados. Pelo nosso PRI 2025, o SLA para ativar o Comitê Estratégico é de 30 minutos.
Decisão Técnica Inicial
Crise detectada
A confirmação chega. Arquivos ".README" da gangue LockBit aparecem em todas as pastas. Os sistemas estão totalmente instáveis. A situação é P.4 – Gravíssima. Vários ativos vitais listados no nosso BIA (Business Impact Analysis) já estão travados. Estou com o PRI 2025 aberto aqui na minha frente. O relógio está correndo contra a gente. O SLA para ativação do Comitê Estratégico nesse cenário é de 30 minutos. E já acionamos o comitê...
continue
continue
O Comitê está reunido.
Colaboradores estão percebendo a falha. Começam a surgir boatos de "falência" e "quebra total" nos corredores e grupos informais. Precisamos disparar a comunicação interna, o plano exige alinhamento para evitar pânico. O que diremos aos colaboradores?
Quem é quem em uma crise?
Para que nossa resposta seja eficaz, precisamos de clareza absoluta nos papéis. Clique em cada uma das funções para entender melhor:
LÍDER DA CRISE
LÍDER DO INCIDENTE
continue
CONTINUE
Clique nos círculos para revelar uma conversa!
Chefe, me ligaram falando que perderam a telemetria do complexo eólico e o sistema SCADA travou com uma mensagem exigindo uma chave de descriptografia.
Se esse ransomware chegar às subestações, podemos perder toda a capacidade de geração!
continue
continue
O que configura uma crise?
Segundo o PRI da Auren, a severidade "Crise" só se configura se houver perda de continuidade operacional e sistêmica por mais de 12 horas ou grandes impactos financeiros/imagem. O momento agora é de avaliação técnica rápida para não escalar um falso positivo.
CLIQUE E VERIFIQUE
continue
Destravando a operação.
O RTO (Tempo Objetivo de Recuperação) para o Registro de Contratos na CCEE é deapenas 6 horas. Nós já estamos parados há 12 horas; ou seja, estamosoperando com o dobro do tempo limite tolerado. A equipe de TI informa que a restauração segura via backup levará, no mínimo, mais 48 horas. Há um volume acumulado de contratos que precisam ser registrados até o fim do dia para evitar multas regulatórias pesadas e exposição no Mercado de Curto Prazo.
A Crise de Reputação
Sábado, 15h30. O sistema Glorian continua fora. A operação manual (contingência) está ativa,mas lenta. A equipe de Cyber Threat Intelligence (CTI) da empresa parceira entra em contato urgente com o CISO. Eles detectaram uma postagem em um blog de vazamento na Deep Web(LockBit ou similar).
- A Postagem: "Auren Energia - 500GB Exfiltrados".
- Prova de vida (Samples): O atacante publicou prints de contratos com grandes clientes e uma planilha do RH contendo CPFs e salários de diretores.
- A Imprensa: Um jornalista (Valor Econômico ou TecMundo) enviou um e-mail para a Assessoria de Imprensa com um print desse vazamento perguntando: "A Auren confirma o vazamento de dados pessoais e estratégicos? O prazo para resposta é de 1 hora antes do fechamento da matéria."
O Dilema na Mesa
O vazamento é real, mas a extensão total ainda é desconhecida (a forense está em andamento). O Comitê Estratégico precisa decidir a postura de comunicação AGORA.
continue
Temos 1 hora para responder à imprensa.
A empresa parceira confirmou que a amostra de dados é autêntica, ou seja, houve exfiltração. O Plano de Comunicação diz que devemos ser 'honestos e precisos', mas o jurídico teme que admitir o vazamento agora gere provas contra nós mesmos na ANPD antes de termos o relatório forense completo.
O Ultimato Financeiro:
Domingo à noite, 20h. O mercado financeiro abre em 12 horas.A equipe técnica da Triad/TIVIT traz uma notícia agridoce:
Os backups estão íntegros, mas o volume de dados é gigantesco. A estimativa realista para ter o Glorian e o SAP funcionais é de mais 5 dias úteis.
Isso significa perder o faturamento da semana inteirae colapsar a gestão de caixa.
O Atacante faz um ultimato:
O preço do resgate dobrará se o pagamento não for feito até às 08:00 de segunda-feira. Se não pagarem, vazaremos a estrutura completa de engenharia das usinas e os contratos de M&A sigilosos.
Recurso Disponível: O PRI da Auren lista um fornecedor "Negociador" e prevê acionamento do Seguro Cibernético.
continue
Senhores, temos duas certezas matemáticas na mesa:
1. Recuperar via backup custará 5 dias de operação parada (milhões em prejuízo + multas).2. Pagar o resgate custa 3 milhões de dólares (cobertos parcialmente pelo seguro),e o 'Negociador' afirma que esse grupo costuma entregar a chave em 24h.
O "Post-Mortem" e a Prestação de Contas
Passou-se um mês. O sistema Glorian foi restaurado. A operação voltou ao normal, mas com custos milionários.O Líder do Incidente deve apresentar o Relatório Final ao Conselho de Administração.
A Revelação da Auditoria:
A Empresa parceira descobriu a Causa Raiz: O ataque entrou por uma credencial de VPN de um terceiro (fornecedor) sem MFA, que foi "aberto como exceção" meses atrás.
continue
Investimos milhões em segurança.
O relatório mostra que ficamos 5 dias parados porque o BIA dizia RTOde 6h, mas a TI não tinha capacidade técnica para isso.
Plano de Resposta a Incidentes (PRI) e Gestão de Crise Cibernética
Nem todo evento é um incidente, mas todo incidente começa como evento.
O Que é um Incidente Cibernético?
O Ciclo de Vida do Incidente (NIST).
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Classificação de Severidade (O "Relógio").
Baixa (Remediação): Resolvido na rotina (SLA 4h). Média (Contingência): Perda crítica > 12h, impacto gerenciável (SLA 2h). Alta (Crise): Perda sistêmica > 12h ou impacto financeiro/reputacional grave (SLA 30 min).
Nota: O cenário do Glorian foi Crise.
continue
Estrutura de Comando em Crises.
Clique nos agentes para aprender mais sobre o controle de crises
Estratégico
Tático
continue
Método de Comunicação:
Interno: Colaboradores (evitar boatos). Reguladores: ANPD, CCEE/ONS. Imprensa: Transparência controlada. Regra: Apenas porta-vozes treinados falam.
continue
Continuidade de Negócios (PCN & BIA).
BIA: Define o RTO (Tempo Máximo de Parada).
PCO: Se o tempo estourar, ativa-se o modo manual.
Lição: Não espere a TI eternamente; ative o PCO.
continue
Pós-Incidente
Mensagens Finais (Takeaways).
Tempo: Se o RTO é curto e a recuperação é longa, ative a contingência manual cedo. Papéis: Estratégico blinda a marca; Tático salva o ambiente. Comunicação: O silêncio gera medo; a transparência gera confiança. Disciplina: Siga o PRI. Não improvise no pânico.
continue
Parabéns!
Vocês lidaram com uma simulação de um incidente real da Auren. Agora precisamos lembrar de sermos sempre agentes de Segurança da Informação!
Fim
Os Impactos
Situação em que estamos
RTO (Tempo Máximo Aceitável): 6 horas. Situação Atual (T+12h): O prazo foi excedido em dobro. Consequência de Negócio: Regulatória: Risco iminente de multas e penalidades junto à CCEE (Câmara de Comercialização de Energia Elétrica) por perda de prazos de registro. Financeira: Contratos de compra/venda de energia não registrados podem não ser contabilizados na liquidação correta, gerando exposição financeira desnecessária no Mercado de Curto Prazo (MCP). Operacional: A equipe de Backoffice está acumulando um passivo manual que precisará ser inserido no sistema da CCEE (CliqCCEE) assim que possível, ou feito via procedimentos alternativos emergenciais (se existirem e forem viáveis sem o Glorian).
Líder do incidente
Papel - Tático
Olhar para dentro e para o agora. Coordena a equipe técnica para conter a ameaça. Sua função é técnica: conter, erradicar e recuperar. Você provê as informações para que o Estratégico decida.
Tática resolve o 'Como' e o 'Quando'.Nosso objetivo é maximizar Resiliência e Governança. E a regra de ouro é simples: Não tente resolver o técnico, se você é estratégico. Não tente resolver o político, se você é tático.
Líder da crise
Papel - Estratégico
Sua preocupação não é o firewall, é a manchete do jornal amanhã, o processo jurídico e a continuidade do negócio.
Estratégia define o 'O Quê' e o 'Porquê'Olhar para fora e para o futuro. Deve avaliar os impactos financeiros, regulatórios e de imagem. Não decide qual servidor desligar, mas decide se a empresa deve virar a chave para o site de contingência ou pagar um resgate (simulação).
Estratégico (Líder da Crise/N°1)
Foco em Negócio, Reputação, Comunicação. Decide "O Quê". Não tente resolver o técnico, se você é estratégico.
Tático
Foco Técnico e Operacional. Decide "Como". Não tente resolver o estratégico, se você é técnico.
Auren_PRI_Treinamento_Simulação
Ceu
Created on January 7, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Feedback and Leadership Simulation
View
Product Purchase Simulation
View
Onboarding Quiz for New Employees
View
Work Style Quiz
View
The Meeting Microlearning
View
The Meeting Microlearning Mobile
View
Customer Management Simulation
Explore all templates
Transcript
Próximo
Um dia de crise...
Roger, são 08h12 da manhã e recebemos alertas de severidade máxima simultâneos!!
Sim, eu vi ontem... Só estou achando o servidor de arquivos um pouco lento, mas deve ser só o backup de rotina terminando. Ué... Roberto, espera. Minha conexão com o diretório de rede caiu.
Começar
O que você irá aprender:
Nessa sessão você irá navegar na matriz de decisão estratégica e tática do incidente simulado de ransomware.
Liderança e papéis estratégicos.
Classificação rápida de riscos.
Gestão financeira e regulatória.
Como lidar com uma crise cibernética.
Resiliência e governança futura.
continue
Contexto
Você está trabalhando normalmente... O relógio marca exatamente 08h15. O silêncio do escritório é quebrado pelo som de notificações simultâneas. Em cada diretório, em cada pasta de rede da companhia, surge o "cartão de visitas" do caos: um arquivo .README. O que está acontecendo?
continue
Clique nos círculos para revelar uma conversa!
O servidor de arquivos não responde. E... espera. Todo mundo aqui na minha equipe está com o mesmo problema! Olha isso, em cada pasta, em vez dos arquivos... só tem esse '.README'.
".README"? O que diz esse arquivo? Abre ele. Agora!
.README
📧
continue
continue
continue
Clique nos círculos para revelar uma conversa!
Parece um ataque cibernético, não estou conseguindo abrir nada.
O sistema de faturamento da matriz acabou de ejetar todos os usuários! Ninguém mais loga. O banco de dados de pedidos está... Está virando fumaça!
Cada minuto com o site fora do ar são centenas de milhares de reais! O conselho quer saber se a gente paga ou se tem backup!
Eles não estão só criptografando... eles estão roubando! Exfiltração de dados em massa. Nomes, CPFs, cartões... Se isso vazar, a LGPD vai destruir a gente antes mesmo do prejuízo financeiro.
continue
O NOC (Network Operations Center) detectou falhas críticas.
Os sistemas Glorian (gestão de energia) e Elipse (controle PRI) estão travados. O Analista do SOC confirma: é um ataque de ransomware se espalhando via SMB. Ativos vitais do BIA estão travados. Pelo nosso PRI 2025, o SLA para ativar o Comitê Estratégico é de 30 minutos.
Decisão Técnica Inicial
Crise detectada
A confirmação chega. Arquivos ".README" da gangue LockBit aparecem em todas as pastas. Os sistemas estão totalmente instáveis. A situação é P.4 – Gravíssima. Vários ativos vitais listados no nosso BIA (Business Impact Analysis) já estão travados. Estou com o PRI 2025 aberto aqui na minha frente. O relógio está correndo contra a gente. O SLA para ativação do Comitê Estratégico nesse cenário é de 30 minutos. E já acionamos o comitê...
continue
continue
O Comitê está reunido.
Colaboradores estão percebendo a falha. Começam a surgir boatos de "falência" e "quebra total" nos corredores e grupos informais. Precisamos disparar a comunicação interna, o plano exige alinhamento para evitar pânico. O que diremos aos colaboradores?
Quem é quem em uma crise?
Para que nossa resposta seja eficaz, precisamos de clareza absoluta nos papéis. Clique em cada uma das funções para entender melhor:
LÍDER DA CRISE
LÍDER DO INCIDENTE
continue
CONTINUE
Clique nos círculos para revelar uma conversa!
Chefe, me ligaram falando que perderam a telemetria do complexo eólico e o sistema SCADA travou com uma mensagem exigindo uma chave de descriptografia.
Se esse ransomware chegar às subestações, podemos perder toda a capacidade de geração!
continue
continue
O que configura uma crise?
Segundo o PRI da Auren, a severidade "Crise" só se configura se houver perda de continuidade operacional e sistêmica por mais de 12 horas ou grandes impactos financeiros/imagem. O momento agora é de avaliação técnica rápida para não escalar um falso positivo.
CLIQUE E VERIFIQUE
continue
Destravando a operação.
O RTO (Tempo Objetivo de Recuperação) para o Registro de Contratos na CCEE é deapenas 6 horas. Nós já estamos parados há 12 horas; ou seja, estamosoperando com o dobro do tempo limite tolerado. A equipe de TI informa que a restauração segura via backup levará, no mínimo, mais 48 horas. Há um volume acumulado de contratos que precisam ser registrados até o fim do dia para evitar multas regulatórias pesadas e exposição no Mercado de Curto Prazo.
A Crise de Reputação
Sábado, 15h30. O sistema Glorian continua fora. A operação manual (contingência) está ativa,mas lenta. A equipe de Cyber Threat Intelligence (CTI) da empresa parceira entra em contato urgente com o CISO. Eles detectaram uma postagem em um blog de vazamento na Deep Web(LockBit ou similar).
O Dilema na Mesa
O vazamento é real, mas a extensão total ainda é desconhecida (a forense está em andamento). O Comitê Estratégico precisa decidir a postura de comunicação AGORA.
continue
Temos 1 hora para responder à imprensa.
A empresa parceira confirmou que a amostra de dados é autêntica, ou seja, houve exfiltração. O Plano de Comunicação diz que devemos ser 'honestos e precisos', mas o jurídico teme que admitir o vazamento agora gere provas contra nós mesmos na ANPD antes de termos o relatório forense completo.
O Ultimato Financeiro:
Domingo à noite, 20h. O mercado financeiro abre em 12 horas.A equipe técnica da Triad/TIVIT traz uma notícia agridoce:
Os backups estão íntegros, mas o volume de dados é gigantesco. A estimativa realista para ter o Glorian e o SAP funcionais é de mais 5 dias úteis.
Isso significa perder o faturamento da semana inteirae colapsar a gestão de caixa.
O Atacante faz um ultimato:
O preço do resgate dobrará se o pagamento não for feito até às 08:00 de segunda-feira. Se não pagarem, vazaremos a estrutura completa de engenharia das usinas e os contratos de M&A sigilosos.
Recurso Disponível: O PRI da Auren lista um fornecedor "Negociador" e prevê acionamento do Seguro Cibernético.
continue
Senhores, temos duas certezas matemáticas na mesa:
1. Recuperar via backup custará 5 dias de operação parada (milhões em prejuízo + multas).2. Pagar o resgate custa 3 milhões de dólares (cobertos parcialmente pelo seguro),e o 'Negociador' afirma que esse grupo costuma entregar a chave em 24h.
O "Post-Mortem" e a Prestação de Contas
Passou-se um mês. O sistema Glorian foi restaurado. A operação voltou ao normal, mas com custos milionários.O Líder do Incidente deve apresentar o Relatório Final ao Conselho de Administração.
A Revelação da Auditoria:
A Empresa parceira descobriu a Causa Raiz: O ataque entrou por uma credencial de VPN de um terceiro (fornecedor) sem MFA, que foi "aberto como exceção" meses atrás.
continue
Investimos milhões em segurança.
O relatório mostra que ficamos 5 dias parados porque o BIA dizia RTOde 6h, mas a TI não tinha capacidade técnica para isso.
Plano de Resposta a Incidentes (PRI) e Gestão de Crise Cibernética
Nem todo evento é um incidente, mas todo incidente começa como evento.
O Que é um Incidente Cibernético?
O Ciclo de Vida do Incidente (NIST).
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?
Classificação de Severidade (O "Relógio").
Baixa (Remediação): Resolvido na rotina (SLA 4h). Média (Contingência): Perda crítica > 12h, impacto gerenciável (SLA 2h). Alta (Crise): Perda sistêmica > 12h ou impacto financeiro/reputacional grave (SLA 30 min).
Nota: O cenário do Glorian foi Crise.
continue
Estrutura de Comando em Crises.
Clique nos agentes para aprender mais sobre o controle de crises
Estratégico
Tático
continue
Método de Comunicação:
Interno: Colaboradores (evitar boatos). Reguladores: ANPD, CCEE/ONS. Imprensa: Transparência controlada. Regra: Apenas porta-vozes treinados falam.
continue
Continuidade de Negócios (PCN & BIA).
BIA: Define o RTO (Tempo Máximo de Parada).
PCO: Se o tempo estourar, ativa-se o modo manual.
Lição: Não espere a TI eternamente; ative o PCO.
continue
Pós-Incidente
Mensagens Finais (Takeaways).
Tempo: Se o RTO é curto e a recuperação é longa, ative a contingência manual cedo. Papéis: Estratégico blinda a marca; Tático salva o ambiente. Comunicação: O silêncio gera medo; a transparência gera confiança. Disciplina: Siga o PRI. Não improvise no pânico.
continue
Parabéns!
Vocês lidaram com uma simulação de um incidente real da Auren. Agora precisamos lembrar de sermos sempre agentes de Segurança da Informação!
Fim
Os Impactos
Situação em que estamos
RTO (Tempo Máximo Aceitável): 6 horas. Situação Atual (T+12h): O prazo foi excedido em dobro. Consequência de Negócio: Regulatória: Risco iminente de multas e penalidades junto à CCEE (Câmara de Comercialização de Energia Elétrica) por perda de prazos de registro. Financeira: Contratos de compra/venda de energia não registrados podem não ser contabilizados na liquidação correta, gerando exposição financeira desnecessária no Mercado de Curto Prazo (MCP). Operacional: A equipe de Backoffice está acumulando um passivo manual que precisará ser inserido no sistema da CCEE (CliqCCEE) assim que possível, ou feito via procedimentos alternativos emergenciais (se existirem e forem viáveis sem o Glorian).
Líder do incidente
Papel - Tático
Olhar para dentro e para o agora. Coordena a equipe técnica para conter a ameaça. Sua função é técnica: conter, erradicar e recuperar. Você provê as informações para que o Estratégico decida.
Tática resolve o 'Como' e o 'Quando'.Nosso objetivo é maximizar Resiliência e Governança. E a regra de ouro é simples: Não tente resolver o técnico, se você é estratégico. Não tente resolver o político, se você é tático.
Líder da crise
Papel - Estratégico
Sua preocupação não é o firewall, é a manchete do jornal amanhã, o processo jurídico e a continuidade do negócio.
Estratégia define o 'O Quê' e o 'Porquê'Olhar para fora e para o futuro. Deve avaliar os impactos financeiros, regulatórios e de imagem. Não decide qual servidor desligar, mas decide se a empresa deve virar a chave para o site de contingência ou pagar um resgate (simulação).
Estratégico (Líder da Crise/N°1)
Foco em Negócio, Reputação, Comunicação. Decide "O Quê". Não tente resolver o técnico, se você é estratégico.
Tático
Foco Técnico e Operacional. Decide "Como". Não tente resolver o estratégico, se você é técnico.