Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 22/12/2022 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022122200040
40
Nº 240, quinta-feira, 22 de dezembro de 2022
ISSN 1677-7042
Seção 1
Devem ser aplicadas medidas para mitigar o incidente, evitando-se a 
destruição de provas que possam servir de subsídios para possível processo cível, penal 
ou administrativo. 
A ação de contenção poderá envolver as seguintes atividades: 
 contenção a curto prazo, que consiste em: 
- limitar os danos antes que o incidente piore; 
- isolar segmentos de rede; e 
- executar um failover routing (desvio de tráfego de rede para os recursos 
que estejam saudáveis e disponíveis); 
 realização de imagem forense do ambiente afetado; e 
 contenção a longo prazo, que consiste em: 
- identificar vulnerabilidades exploradas pelos atacantes e os mecanismos 
que permitiram o ataque; e 
- aplicar correções temporárias que permitam a volta ao funcionamento 
dos sistemas afetados. 
5.2. Erradicação 
A erradicação consiste em remover ou inutilizar artefatos utilizados pelos 
atacantes e em restaurar o ambiente afetado. 
A ação de erradicação poderá envolver as seguintes atividades: 
 restauração completa das imagens de unidades de armazenamento, 
implicando na exclusão de todos os dados atuais; 
 recuperação dos dados a partir dos backups existentes; 
 identificação das causas principais que originaram o ataque; 
 realização dos procedimentos necessários para limpar a unidade de 
armazenamento, removendo ou isolando os artefatos utilizados pelos atacantes; e 
 correção das vulnerabilidades encontradas. 
5.3. Recuperação 
O objetivo da recuperação é restabelecer o pleno funcionamento do 
ambiente afetado após garantir que as ameaças foram neutralizadas ou removidas. 
A ação de recuperação poderá envolver as seguintes atividades: 
 definição de cronograma para a restauração das operações pelos 
responsáveis pelos ativos de informação afetados, com base em subsídios apresentados 
pela ETIR; 
 realização de varredura completa do ambiente recuperado, de forma a 
garantir que este esteja apto para uso seguro; 
 realização de testes de funcionamento do ambiente recuperado, 
validando os resultados com as linhas de base definidas, à medida em que estarão 
novamente disponibilizados para uso; e 
 monitoramento do ambiente recuperado, a ser executado num período 
após o incidente cibernético, de forma a verificar comportamentos atípicos ou 
anormalidade nas operações.

Fechar