Want to create interactive content? It’s easy in Genially!

Get started free

Auren_PRI_Treinamento_Simulação

Ceu

Created on January 7, 2026

Start designing with a free template

Discover more than 1500 professional designs like these:

Feedback and Leadership Simulation

Product Purchase Simulation

Onboarding Quiz for New Employees

Work Style Quiz

The Meeting Microlearning

The Meeting Microlearning Mobile

Customer Management Simulation

Transcript

Próximo

Um dia de crise...

Roger, são 08h12 da manhã e recebemos alertas de severidade máxima simultâneos!!

Sim, eu vi ontem... Só estou achando o servidor de arquivos um pouco lento, mas deve ser só o backup de rotina terminando. Ué... Roberto, espera. Minha conexão com o diretório de rede caiu.

Começar

O que você irá aprender:

Nessa sessão você irá navegar na matriz de decisão estratégica e tática do incidente simulado de ransomware.

Liderança e papéis estratégicos.

Classificação rápida de riscos.

Gestão financeira e regulatória.

Como lidar com uma crise cibernética.

Resiliência e governança futura.

continue

Contexto

Você está trabalhando normalmente... O relógio marca exatamente 08h15. O silêncio do escritório é quebrado pelo som de notificações simultâneas. Em cada diretório, em cada pasta de rede da companhia, surge o "cartão de visitas" do caos: um arquivo .README. O que está acontecendo?

continue

Clique nos círculos para revelar uma conversa!

O servidor de arquivos não responde. E... espera. Todo mundo aqui na minha equipe está com o mesmo problema! Olha isso, em cada pasta, em vez dos arquivos... só tem esse '.README'.

".README"? O que diz esse arquivo? Abre ele. Agora!

.README

📧

continue

continue

continue

Clique nos círculos para revelar uma conversa!

Parece um ataque cibernético, não estou conseguindo abrir nada.

O sistema de faturamento da matriz acabou de ejetar todos os usuários! Ninguém mais loga. O banco de dados de pedidos está... Está virando fumaça!

Cada minuto com o site fora do ar são centenas de milhares de reais! O conselho quer saber se a gente paga ou se tem backup!

Eles não estão só criptografando... eles estão roubando! Exfiltração de dados em massa. Nomes, CPFs, cartões... Se isso vazar, a LGPD vai destruir a gente antes mesmo do prejuízo financeiro.

continue

O NOC (Network Operations Center) detectou falhas críticas.

Os sistemas Glorian (gestão de energia) e Elipse (controle PRI) estão travados. O Analista do SOC confirma: é um ataque de ransomware se espalhando via SMB. Ativos vitais do BIA estão travados. Pelo nosso PRI 2025, o SLA para ativar o Comitê Estratégico é de 30 minutos.

Decisão Técnica Inicial

Crise detectada

A confirmação chega. Arquivos ".README" da gangue LockBit aparecem em todas as pastas. Os sistemas estão totalmente instáveis. A situação é P.4 – Gravíssima. Vários ativos vitais listados no nosso BIA (Business Impact Analysis) já estão travados. Estou com o PRI 2025 aberto aqui na minha frente. O relógio está correndo contra a gente. O SLA para ativação do Comitê Estratégico nesse cenário é de 30 minutos. E já acionamos o comitê...

continue

continue

O Comitê está reunido.

Colaboradores estão percebendo a falha. Começam a surgir boatos de "falência" e "quebra total" nos corredores e grupos informais. Precisamos disparar a comunicação interna, o plano exige alinhamento para evitar pânico. O que diremos aos colaboradores?

Quem é quem em uma crise?

Para que nossa resposta seja eficaz, precisamos de clareza absoluta nos papéis. Clique em cada uma das funções para entender melhor:

LÍDER DA CRISE

LÍDER DO INCIDENTE

continue

CONTINUE

Clique nos círculos para revelar uma conversa!

Chefe, me ligaram falando que perderam a telemetria do complexo eólico e o sistema SCADA travou com uma mensagem exigindo uma chave de descriptografia.

Se esse ransomware chegar às subestações, podemos perder toda a capacidade de geração!

continue

continue

O que configura uma crise?

Segundo o PRI da Auren, a severidade "Crise" só se configura se houver perda de continuidade operacional e sistêmica por mais de 12 horas ou grandes impactos financeiros/imagem. O momento agora é de avaliação técnica rápida para não escalar um falso positivo.

CLIQUE E VERIFIQUE

continue

Destravando a operação.

O RTO (Tempo Objetivo de Recuperação) para o Registro de Contratos na CCEE é deapenas 6 horas. Nós já estamos parados há 12 horas; ou seja, estamosoperando com o dobro do tempo limite tolerado. A equipe de TI informa que a restauração segura via backup levará, no mínimo, mais 48 horas. Há um volume acumulado de contratos que precisam ser registrados até o fim do dia para evitar multas regulatórias pesadas e exposição no Mercado de Curto Prazo.

A Crise de Reputação

Sábado, 15h30. O sistema Glorian continua fora. A operação manual (contingência) está ativa,mas lenta. A equipe de Cyber Threat Intelligence (CTI) da empresa parceira entra em contato urgente com o CISO. Eles detectaram uma postagem em um blog de vazamento na Deep Web(LockBit ou similar).

  • A Postagem: "Auren Energia - 500GB Exfiltrados".
  • Prova de vida (Samples): O atacante publicou prints de contratos com grandes clientes e uma planilha do RH contendo CPFs e salários de diretores.
  • A Imprensa: Um jornalista (Valor Econômico ou TecMundo) enviou um e-mail para a Assessoria de Imprensa com um print desse vazamento perguntando: "A Auren confirma o vazamento de dados pessoais e estratégicos? O prazo para resposta é de 1 hora antes do fechamento da matéria."

O Dilema na Mesa

O vazamento é real, mas a extensão total ainda é desconhecida (a forense está em andamento). O Comitê Estratégico precisa decidir a postura de comunicação AGORA.

continue

Temos 1 hora para responder à imprensa.

A empresa parceira confirmou que a amostra de dados é autêntica, ou seja, houve exfiltração. O Plano de Comunicação diz que devemos ser 'honestos e precisos', mas o jurídico teme que admitir o vazamento agora gere provas contra nós mesmos na ANPD antes de termos o relatório forense completo.

O Ultimato Financeiro:

Domingo à noite, 20h. O mercado financeiro abre em 12 horas.A equipe técnica da Triad/TIVIT traz uma notícia agridoce:

Os backups estão íntegros, mas o volume de dados é gigantesco. A estimativa realista para ter o Glorian e o SAP funcionais é de mais 5 dias úteis.

Isso significa perder o faturamento da semana inteirae colapsar a gestão de caixa.

O Atacante faz um ultimato:

O preço do resgate dobrará se o pagamento não for feito até às 08:00 de segunda-feira. Se não pagarem, vazaremos a estrutura completa de engenharia das usinas e os contratos de M&A sigilosos.

Recurso Disponível: O PRI da Auren lista um fornecedor "Negociador" e prevê acionamento do Seguro Cibernético.

continue

Senhores, temos duas certezas matemáticas na mesa:

1. Recuperar via backup custará 5 dias de operação parada (milhões em prejuízo + multas).2. Pagar o resgate custa 3 milhões de dólares (cobertos parcialmente pelo seguro),e o 'Negociador' afirma que esse grupo costuma entregar a chave em 24h.

O "Post-Mortem" e a Prestação de Contas

Passou-se um mês. O sistema Glorian foi restaurado. A operação voltou ao normal, mas com custos milionários.O Líder do Incidente deve apresentar o Relatório Final ao Conselho de Administração.

A Revelação da Auditoria:

A Empresa parceira descobriu a Causa Raiz: O ataque entrou por uma credencial de VPN de um terceiro (fornecedor) sem MFA, que foi "aberto como exceção" meses atrás.

continue

Investimos milhões em segurança.

O relatório mostra que ficamos 5 dias parados porque o BIA dizia RTOde 6h, mas a TI não tinha capacidade técnica para isso.

Plano de Resposta a Incidentes (PRI) e Gestão de Crise Cibernética

Nem todo evento é um incidente, mas todo incidente começa como evento.

O Que é um Incidente Cibernético?

O Ciclo de Vida do Incidente (NIST).

Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?

Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?

Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?

Estancando a sangria e limpando o ambiente. O que deve ser feito depois que o incidente já ocorreu?

Classificação de Severidade (O "Relógio").

Baixa (Remediação): Resolvido na rotina (SLA 4h). Média (Contingência): Perda crítica > 12h, impacto gerenciável (SLA 2h). Alta (Crise): Perda sistêmica > 12h ou impacto financeiro/reputacional grave (SLA 30 min).

Nota: O cenário do Glorian foi Crise.

continue

Estrutura de Comando em Crises.

Clique nos agentes para aprender mais sobre o controle de crises

Estratégico

Tático

continue

Método de Comunicação:

Interno: Colaboradores (evitar boatos). Reguladores: ANPD, CCEE/ONS. Imprensa: Transparência controlada. Regra: Apenas porta-vozes treinados falam.

continue

Continuidade de Negócios (PCN & BIA).

BIA: Define o RTO (Tempo Máximo de Parada).

PCO: Se o tempo estourar, ativa-se o modo manual.

Lição: Não espere a TI eternamente; ative o PCO.

continue

Pós-Incidente

Mensagens Finais (Takeaways).

Tempo: Se o RTO é curto e a recuperação é longa, ative a contingência manual cedo. Papéis: Estratégico blinda a marca; Tático salva o ambiente. Comunicação: O silêncio gera medo; a transparência gera confiança. Disciplina: Siga o PRI. Não improvise no pânico.

continue

Parabéns!

Vocês lidaram com uma simulação de um incidente real da Auren. Agora precisamos lembrar de sermos sempre agentes de Segurança da Informação!

Fim

Os Impactos

Situação em que estamos

RTO (Tempo Máximo Aceitável): 6 horas. Situação Atual (T+12h): O prazo foi excedido em dobro. Consequência de Negócio: Regulatória: Risco iminente de multas e penalidades junto à CCEE (Câmara de Comercialização de Energia Elétrica) por perda de prazos de registro. Financeira: Contratos de compra/venda de energia não registrados podem não ser contabilizados na liquidação correta, gerando exposição financeira desnecessária no Mercado de Curto Prazo (MCP). Operacional: A equipe de Backoffice está acumulando um passivo manual que precisará ser inserido no sistema da CCEE (CliqCCEE) assim que possível, ou feito via procedimentos alternativos emergenciais (se existirem e forem viáveis sem o Glorian).

Líder do incidente

Papel - Tático

Olhar para dentro e para o agora. Coordena a equipe técnica para conter a ameaça. Sua função é técnica: conter, erradicar e recuperar. Você provê as informações para que o Estratégico decida.

Tática resolve o 'Como' e o 'Quando'.Nosso objetivo é maximizar Resiliência e Governança. E a regra de ouro é simples: Não tente resolver o técnico, se você é estratégico. Não tente resolver o político, se você é tático.

Líder da crise

Papel - Estratégico

Sua preocupação não é o firewall, é a manchete do jornal amanhã, o processo jurídico e a continuidade do negócio.

Estratégia define o 'O Quê' e o 'Porquê'Olhar para fora e para o futuro. Deve avaliar os impactos financeiros, regulatórios e de imagem. Não decide qual servidor desligar, mas decide se a empresa deve virar a chave para o site de contingência ou pagar um resgate (simulação).

Estratégico (Líder da Crise/N°1)

Foco em Negócio, Reputação, Comunicação. Decide "O Quê". Não tente resolver o técnico, se você é estratégico.

Tático

Foco Técnico e Operacional. Decide "Como". Não tente resolver o estratégico, se você é técnico.