Frameworks de Resposta a Incidentes: NIST SP 800-61, SANS PICERL e ISO/IEC 27035
Três frameworks dominam o mercado de resposta a incidentes: o NIST SP 800-61, publicado pelo National Institute of Standards and Technology; o modelo PICERL do SANS Institute; e a norma ISO/IEC 27035. Os três descrevem o mesmo ciclo fundamental — preparar, detectar, conter, erradicar, recuperar e aprender — mas com ênfases, granularidades e públicos distintos. Entender as diferenças entre eles é o primeiro passo para construir um programa de IR que funcione na prática.
NIST SP 800-61: o guia técnico de referência
O NIST Special Publication 800-61 Revision 2 (Computer Security Incident Handling Guide) é a publicação técnica mais influente na área de resposta a incidentes. Publicado pelo NIST em 2012, o documento é de acesso público e serve de base para programas de IR em agências federais dos EUA e em organizações privadas ao redor do mundo.
O NIST SP 800-61 estrutura o ciclo de IR em quatro fases:
- Preparation (Preparação): estabelecimento de políticas, ferramentas, comunicação, treinamento de equipe e relacionamento com partes externas antes que qualquer incidente ocorra.
- Detection and Analysis (Detecção e Análise): identificação de indicadores de comprometimento, triagem de alertas, classificação de severidade e análise técnica do incidente — incluindo preservação de evidências forenses.
- Containment, Eradication and Recovery (Contenção, Erradicação e Recuperação): as três atividades são agrupadas em uma única fase iterativa porque, na prática, se sobrepõem. A contenção interrompe o avanço do ataque; a erradicação remove o artefato malicioso ou o acesso indevido; a recuperação restaura sistemas ao estado operacional seguro.
- Post-Incident Activity (Atividade Pós-Incidente): reunião de lições aprendidas, atualização de controles, geração de métricas e comunicação com stakeholders.
O ponto distintivo do NIST SP 800-61 é a profundidade técnica. O documento orienta como analisar arquivos de log, como tratar incidentes de malware versus DoS versus insider threat, e como preservar evidências para fins legais. É a referência operacional para analistas SOC e equipes CSIRT.
SANS PICERL: granularidade operacional
O modelo PICERL do SANS Institute decompõe o ciclo de IR em seis fases com nomes distintos, tornando cada etapa um checkpoint verificável:
- Preparation: equivalente à fase inicial do NIST — planos, ferramentas, treinamentos e comunicação.
- Identification: fase exclusiva do SANS que separa explicitamente o momento em que a equipe confirma que um evento é de fato um incidente de segurança, diferenciando falsos positivos de incidentes reais antes de acionar recursos de contenção.
- Containment: ações imediatas para limitar o impacto — isolamento de endpoints, bloqueio de contas, segmentação de rede.
- Eradication: remoção da causa-raiz — malware, backdoors, contas comprometidas, vulnerabilidades exploradas.
- Recovery: restauração segura dos sistemas afetados, validação de integridade e retorno à operação normal.
- Lessons Learned: revisão formal do incidente, atualização de runbooks e comunicação de melhorias.
A separação entre Containment, Eradication e Recovery torna o PICERL mais intuitivo como checklist operacional. Analistas em plantão conseguem marcar cada fase de forma clara, o que facilita a comunicação de status em tempo real para gestores e clientes.
ISO/IEC 27035: governança e conformidade internacional
A norma ISO/IEC 27035 (Information technology — Information security incident management) é publicada pela International Organization for Standardization e define requisitos e diretrizes para a gestão de incidentes de segurança da informação. A norma está dividida em três partes: princípios (Parte 1), diretrizes para planejamento e preparação (Parte 2) e diretrizes para resposta a incidentes em tecnologia da informação e comunicação (Parte 3).
O ciclo operacional da ISO 27035 contempla cinco fases:
- Plan and Prepare (Planejar e Preparar): política de gestão de incidentes, definição de papéis e responsabilidades, integração com o SGSI da ISO 27001, critérios de classificação e canais de reporte.
- Detection and Reporting (Detecção e Reporte): identificação de eventos, coleta de informações iniciais e reporte formal ao ponto de contato designado.
- Assessment and Decision (Avaliação e Decisão): triagem do evento para confirmar se é um incidente, avaliar impacto potencial e decidir o curso de ação — incluindo a possibilidade de escalar para gestão de crises.
- Responses (Respostas): execução das ações de contenção, erradicação e recuperação, incluindo comunicação a partes interessadas internas e externas, autoridades regulatórias e clientes quando aplicável.
- Lessons Learned and Improvement (Lições Aprendidas e Melhoria): análise de causa-raiz, atualização dos controles do SGSI, revisão da política de incidentes e reporte à alta direção.
A ISO 27035 é referenciada diretamente pelos controles A.5.24 a A.5.28 da ISO 27001:2022. Organizações que buscam ou mantêm certificação ISO 27001 precisam demonstrar conformidade com essas diretrizes durante auditorias externas.
Tabela comparativa das fases
| NIST SP 800-61 | SANS PICERL | ISO/IEC 27035 |
|---|---|---|
| Preparation | Preparation | Plan and Prepare |
| Detection and Analysis | Identification | Detection and Reporting |
| Detection and Analysis | Identification | Assessment and Decision |
| Containment, Eradication and Recovery | Containment | Responses |
| Containment, Eradication and Recovery | Eradication | Responses |
| Containment, Eradication and Recovery | Recovery | Responses |
| Post-Incident Activity | Lessons Learned | Lessons Learned and Improvement |
Semelhanças estruturais
Os três frameworks convergem em pontos fundamentais. Todos reconhecem que a preparação antecede qualquer atividade operacional e que a qualidade da resposta depende diretamente do investimento feito antes de um incidente ocorrer. Todos encerram o ciclo com uma fase de aprendizado que deve retroalimentar a preparação — criando um loop de melhoria contínua. E todos reconhecem que a preservação de evidências, a comunicação com partes interessadas e a documentação ao longo do processo são tão importantes quanto as ações técnicas de contenção.
Outro ponto de convergência é a distinção entre evento e incidente. Os três frameworks estabelecem que nem todo alerta de segurança constitui um incidente e que a triagem criteriosa é essencial para evitar a fadiga de alertas e o desperdício de recursos de resposta.
Diferenças práticas e quando usar cada um
O NIST SP 800-61 é a melhor escolha quando a necessidade principal é profundidade técnica. Equipes SOC, CSIRTs e analistas de forense digital encontram nele orientações detalhadas sobre análise de malware, preservação de evidências, correlação de logs e comunicação com autoridades. É o framework de referência para organizações nos setores de tecnologia, financeiro e defesa que precisam de procedimentos operacionais robustos.
O SANS PICERL brilha como ferramenta de comunicação operacional. Suas seis fases são memorizáveis, facilmente transformáveis em checklists e permitem que analistas de diferentes níveis compartilhem o mesmo vocabulário durante um incidente ativo. É ideal como estrutura de runbooks internos e como modelo para treinamentos e exercícios de simulação (tabletop exercises).
A ISO/IEC 27035 é indispensável para organizações que operam sob requisitos de conformidade internacionais, especialmente aquelas que mantêm certificação ISO 27001 ou que precisam demonstrar governança de incidentes para auditores externos, reguladores ou clientes corporativos europeus. Sua linguagem de gestão e seu alinhamento com o SGSI a tornam a escolha natural para CISOs e gestores de risco.
Integração com o NIST Cybersecurity Framework
O NIST Cybersecurity Framework (CSF) 2.0 organiza as capacidades de segurança cibernética em seis funções: Govern, Identify, Protect, Detect, Respond e Recover. As funções Respond e Recover do CSF mapeiam diretamente para o núcleo operacional dos três frameworks de IR.
Na função Respond, o CSF descreve categorias como Incident Management, Incident Analysis e Incident Mitigation — cada uma implementada pelas fases de detecção, contenção e erradicação do NIST SP 800-61 e do SANS PICERL, e pelos requisitos de reporte e decisão da ISO 27035. Na função Recover, as capacidades de Incident Recovery Plan Execution são operacionalizadas pelas fases de recuperação e lições aprendidas dos três frameworks.
Usar o CSF como camada estratégica e os três frameworks de IR como camada operacional é a abordagem adotada por programas de segurança maduros. O CSF comunica maturidade ao board e aos reguladores; o SP 800-61, o SANS PICERL e a ISO 27035 guiam o trabalho técnico do dia a dia.
Como mapear entre os três frameworks
O mapeamento cruzado entre NIST, SANS e ISO 27035 é direto quando se parte da estrutura mais granular (SANS PICERL com 6 fases) e se identifica os equivalentes nos outros dois. A fase de Identification do SANS corresponde à segunda metade da fase Detection and Analysis do NIST e ao par Detection and Reporting + Assessment and Decision da ISO 27035. As três fases operacionais do SANS (Containment, Eradication, Recovery) correspondem à fase agrupada do NIST e à fase Responses da ISO 27035.
Na prática, a recomendação para programas de IR em construção é usar a ISO 27035 para estruturar a política e os papéis, o NIST SP 800-61 para escrever os runbooks técnicos por tipo de incidente, e o SANS PICERL como checklist de execução que os analistas seguem durante um incidente ativo. Dessa forma, cada framework cumpre o papel para o qual foi projetado sem redundância desnecessária.
Perguntas frequentes
Qual a diferença principal entre NIST SP 800-61 e SANS PICERL?
O NIST SP 800-61 agrupa contenção, erradicação e recuperação em uma única fase iterativa, reconhecendo que essas atividades ocorrem em ciclos sobrepostos. O SANS PICERL as separa em três fases distintas e acrescenta “Identificação” como etapa explícita antes da contenção, tornando o modelo mais granular para equipes que precisam de checkpoints formais entre cada ação operacional.
A ISO/IEC 27035 substitui o NIST SP 800-61?
Não. Os dois frameworks têm escopos complementares. A ISO/IEC 27035 é uma norma internacional voltada a governança e gestão de programas de segurança da informação, com ênfase em política, papéis e integração com o SGSI (ISO 27001). O NIST SP 800-61 é um guia técnico-operacional voltado a equipes de resposta, com orientações detalhadas de detecção, análise de malware e preservação de evidências.
Como o NIST CSF se relaciona com esses frameworks de IR?
O NIST Cybersecurity Framework (CSF) organiza capacidades de segurança em seis funções: Govern, Identify, Protect, Detect, Respond e Recover. As funções Respond e Recover do CSF mapeiam diretamente para os ciclos de IR do NIST SP 800-61, SANS PICERL e ISO 27035. Em termos práticos, o CSF define o “o quê” em nível estratégico; o SP 800-61 e o SANS definem o “como” em nível operacional.
Qual framework é mais indicado para empresas que precisam de certificação?
Organizações que buscam certificação ISO 27001 devem estruturar o programa de IR com base na ISO/IEC 27035, pois ela é referenciada diretamente pelo Anexo A da ISO 27001 (controles A.5.24–A.5.28 na versão 2022). Empresas sem obrigação de certificação, especialmente nos setores de tecnologia e financeiro, tendem a adotar o NIST SP 800-61 por sua profundidade técnica e disponibilidade gratuita.
É possível usar os três frameworks ao mesmo tempo?
Sim, e é a abordagem adotada por programas de IR maduros. A ISO 27035 estrutura a governança e a política; o NIST SP 800-61 provê os procedimentos técnicos de análise e contenção; e o SANS PICERL serve como checklist operacional para os analistas durante um incidente ativo. Os três frameworks convergem nas fases fundamentais e se complementam sem contradição.
Quantas fases tem cada framework e quais são os nomes corretos?
NIST SP 800-61 tem 4 fases: Preparation; Detection and Analysis; Containment, Eradication and Recovery; Post-Incident Activity. SANS PICERL tem 6 fases: Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned. ISO/IEC 27035 tem 5 fases: Plan and Prepare; Detection and Reporting; Assessment and Decision; Responses; Lessons Learned and Improvement.
Referências
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide. National Institute of Standards and Technology, 2012. Disponível em: nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
- NIST Cybersecurity Framework 2.0. National Institute of Standards and Technology, 2024. Disponível em: nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- SANS Institute — Incident Handler’s Handbook. Patrick Kral, SANS Reading Room, 2011. Disponível em: sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
- ISO/IEC 27035-1:2023 — Information technology — Information security incident management — Part 1: Principles and process. International Organization for Standardization.
- ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Controles A.5.24–A.5.28.
Como a Decripte aplica esses frameworks
A Decripte estrutura programas de resposta a incidentes para organizações de 1 a mais de 100.000 colaboradores utilizando os três frameworks de forma integrada. A governança do programa é construída sobre a ISO/IEC 27035 e alinhada com os controles da ISO 27001:2022. Os runbooks técnicos seguem o NIST SP 800-61, cobrindo os vetores de maior incidência no mercado brasileiro: ransomware, comprometimento de credenciais, vazamento de dados e ataques a aplicações web. Os analistas do SOC operam com checklists baseados no SANS PICERL, garantindo rastreabilidade de cada fase durante incidentes ativos.
O resultado é um programa de IR que funciona para startups que estão formalizando o processo pela primeira vez e para corporações que precisam demonstrar conformidade a auditores externos, reguladores setoriais como Banco Central e ANPD, e a clientes com requisitos de segurança.
Para estruturar ou revisar o programa de resposta a incidentes da sua organização, acesse o plano gratuito de gestão de ameaças ou conheça os planos de resposta a incidentes da Decripte.
