PRO-ISIR-PB-06
Playbook — Insider / Fraude / Sabotagem

← Lista Mestre

Objetivo

Tratar incidentes com possível participação interna intencional, preservando evidências com robustez probatória e controlando riscos jurídicos e trabalhistas.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar o checklist da primeira hora, com need-to-know restrito.
  2. Preservar evidências de forma reforçada e coordenar contenção com RH e Jurídico.
  3. Evitar alertar o investigado sem estratégia definida.
  4. Separar fato observado de acusação ou inferência.
  5. Aplicar cadeia de custódia proporcionalmente reforçada conforme o padrão de evidências.

Evidências mínimas

Logs IAM/PAM, acessos a dados, e-mails e chats corporativos quando permitido, histórico de alterações, exportações, uploads e dispositivos associados.

Erradicação

Remover acessos indevidos, corrigir falhas de segregação, revisar controles JML e encaminhar medidas disciplinares ou legais aplicáveis.

Recovery e encerramento

Encerrar com fatos consolidados, decisão jurídica/RH registrada, acessos residuais eliminados e remediações estruturais abertas.

Documentos complementares obrigatórios