Quanto custa responder a um incidente de ransomware ou vazamento?

Resposta direta

Há dois preços a comparar. O custo de RESPONDER a um incidente já em curso (emergencial, sem contrato prévio) costuma ficar entre R$ 30 mil e R$ 80 mil para um caso pequeno e simples, e facilmente ultrapassa R$ 150 mil a R$ 500 mil+ em ransomware com paralisação, perícia forense e notificação à ANPD. O custo de TER resposta a incidentes pronta — um retainer/plantão 24x7 contratado antes — costuma ficar entre R$ 2 mil e R$ 15 mil por mês (porte pequeno/médio), com horas de perícia a taxa reduzida quando o incidente acontece. O ponto central: responder na emergência, sem contrato, sai de 2 a 4 vezes mais caro por hora e demora mais para começar — e é justamente a demora que multiplica o prejuízo. Segundo a IBM, o custo médio de uma violação de dados no Brasil foi de R$ 6,75 milhões (2024) e R$ 7,19 milhões (2025); ter um plano de resposta testado é o fator isolado que mais reduz essa conta. A faixa exata depende do escopo: tamanho do ambiente, se há criptografia/extorsão, volume de dados vazados e obrigação de notificar titulares. Abaixo você aprende a dimensionar o seu caso e a contratar sem ser explorado no pior dia da empresa.

Em resumo

  • O custo de um incidente não é o resgate — é a paralisação. A IBM aponta que downtime não planejado por ransomware pode chegar a US$ 125 mil por hora, e o tempo médio para identificar e conter uma violação foi de 258 dias (2024). É o relógio, não o boleto do criminoso, que define a fatura.
  • Resposta emergencial (sem contrato) custa de 2 a 4 vezes mais por hora que resposta com retainer. Mercado internacional de referência: hora emergencial US$ 800–1.500 vs. hora contratada US$ 175–400. No Brasil, a relação se mantém: você paga prêmio de pânico mais o tempo perdido procurando fornecedor com a empresa parada.
  • Ter um plano de resposta testado é o maior redutor de custo isolado. Pela IBM, empresas com equipe de IR e plano testado tiveram custo médio de violação 58% menor (US$ 3,26 mi vs. US$ 5,29 mi); o plano testado sozinho reduz, em média, US$ 2,66 milhões da conta.
  • Vazamento aciona a LGPD. A Resolução CD/ANPD nº 15/2024 dá prazo de comunicação inicial à ANPD quando há risco/dano relevante; quem descobre e não notifica agrava a dosimetria. Multas vão até 2% do faturamento, limitadas a R$ 50 milhões por infração (art. 52 da LGPD).
  • O retainer/plantão 24x7 é o produto que transforma um custo catastrófico e imprevisível em um custo mensal previsível — e garante SLA de início (horas, não dias) no momento em que cada hora importa.
  • Pagar resgate raramente resolve: 63% das organizações optaram por não pagar (IBM, 2025). Mesmo pagando, você ainda tem perícia, restauração, notificação e perda de clientes. O resgate é a parte menor da conta.

O que você está realmente comprando: responder ao incidente vs. ter resposta pronta

Antes de qualquer número, é preciso separar duas perguntas que costumam ser confundidas. A primeira é: quanto custa RESPONDER quando o incidente já está acontecendo — a empresa parada, os arquivos criptografados, o aviso de extorsão na tela. A segunda é: quanto custa TER resposta a incidentes contratada e pronta antes de qualquer coisa dar errado. São produtos diferentes, com lógicas de preço opostas, e quem compra sem entender essa diferença quase sempre paga o preço pior.

Responder na emergência é como chamar um guincho na BR-101 às 3h da manhã com o carro pegando fogo: você não está negociando, está aceitando. O fornecedor sabe que sua empresa está parada, que cada hora custa caro e que você não tem tempo de cotar três propostas. Esse é o cenário de maior assimetria de poder possível numa relação comercial — e é exatamente nele que muita empresa entra, porque nunca contratou resposta a incidentes antes de precisar. O resultado é taxa horária de pânico, contrato improvisado e início do trabalho atrasado em horas ou dias enquanto se assina papel e se aprova orçamento.

Ter resposta pronta é o oposto. É contratar, em tempo de paz, um time de resposta a incidentes (em inglês, Incident Response ou IR) que fica disponível 24x7 sob um retainer — uma espécie de plano de plantão. Você paga uma mensalidade ou anuidade para garantir três coisas: um SLA de início (a equipe começa a agir em horas, não em dias), uma taxa horária de perícia já negociada e bem abaixo da emergencial, e um time que já conhece minimamente seu ambiente. Quando o incidente vem, não há cotação, não há pânico de fornecedor: há um telefone que você liga e gente que começa a trabalhar.

A Decripte estrutura isso em dois planos complementares. O plano de Resposta a Incidentes (IR 24x7) é o plantão que garante início rápido e taxa de perícia contratada — é o produto primário desta decisão. O plano de SOC 24x7 atua antes: é a detecção contínua que enxerga o ataque cedo e reduz o tamanho do estrago, encurtando justamente os 258 dias médios que a IBM mede entre o início da violação e a contenção. Os dois juntos atacam a variável que mais pesa na conta — o tempo. Se você ainda não sabe onde está exposto, o diagnóstico gratuito no Intelligence Center mapeia o risco atual antes de qualquer contratação.

O custo real de um incidente: por que o resgate é a menor parte da conta

A pergunta 'quanto custa um ataque' raramente tem como resposta o valor do resgate. O resgate é a parte mais visível e, com frequência, a menor. O custo de um incidente é uma soma de componentes que poucos enxergam até passar por um. O maior deles é a paralisação. Quando o ERP, o e-commerce, o sistema de emissão de nota ou a operação inteira ficam fora do ar, cada hora tem um preço — em receita não faturada, em equipe ociosa, em clientes que vão embora. A IBM estima que o downtime não planejado decorrente de ransomware pode chegar a US$ 125 mil por hora em organizações maiores. Mesmo numa empresa de médio porte brasileira, dias de operação parada facilmente significam dezenas a centenas de milhares de reais.

O segundo componente é a perícia forense e a contenção. Responder a um ransomware sério exige investigar como o atacante entrou (o vetor inicial), o que ele acessou e moveu (movimentação lateral), se houve exfiltração de dados antes da criptografia (a chamada dupla extorsão), e então erradicar a presença dele e restaurar com segurança. Esse trabalho técnico é medido em horas de especialista, e a referência de mercado é clara: a IBM aponta que ransomware costuma exigir, no mínimo, da ordem de 150 horas de resposta para ser plenamente remediado. A taxa horária dessas horas é o que mais varia entre o cenário emergencial e o contratado.

O terceiro componente é jurídico e regulatório. Se dados pessoais vazaram, a LGPD entra em cena. Há custo de assessoria jurídica especializada, de notificação à ANPD dentro do prazo da Resolução CD/ANPD nº 15/2024, de comunicação aos titulares afetados e, potencialmente, de sanção administrativa. O quarto e mais duradouro é a perda de negócio: clientes que cancelam, contratos que não se renovam, reputação que custa anos para recuperar. A IBM mede esse 'lost business' como uma das maiores fatias do custo total da violação — e é a que não aparece na fatura, mas aparece no balanço do ano seguinte.

Somando tudo, chega-se aos números da IBM: custo médio de uma violação de dados no Brasil de R$ 6,75 milhões em 2024 e R$ 7,19 milhões em 2025, com setores regulados ainda mais expostos (saúde em R$ 11,43 mi, finanças em R$ 8,92 mi). Esse é o tamanho do problema que a resposta a incidentes existe para conter. E é por isso que a conversa sobre preço de IR nunca deve começar pelo custo do serviço — deve começar pelo custo de não ter o serviço.

Gestão de Ameaças · Grátis

O pior momento para contratar resposta a incidentes é durante o incidente — com a empresa parada e o relógio correndo, você paga a taxa de pânico e ainda espera o time chegar. Inverta a lógica enquanto está em paz: comece pelo diagnóstico gratuito no Intelligence Center para enxergar onde você está exposto, ative o SOC 24x7 para detectar o ataque cedo e estruture o plantão com o plano de Resposta a Incidentes 24x7. É a diferença entre um custo mensal previsível e uma conta de seis dígitos no pior dia da sua empresa.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Faixas de preço reais no Brasil: emergencial, retainer e perícia por hora

Sendo honesto sobre números: não existe um preço único para resposta a incidentes, e qualquer fornecedor que crave um valor fechado sem conhecer seu ambiente está chutando ou escondendo algo. O preço é função do escopo — quantos servidores e endpoints, se houve criptografia ou só vazamento, volume e sensibilidade dos dados, urgência, e se você tem ou não backups íntegros. O que dá para fazer com honestidade é dar faixas de mercado e ensinar você a se posicionar dentro delas.

No modelo EMERGENCIAL (você liga sem contrato, com o incidente em curso), o trabalho é cobrado por hora ou por pacote de horas, a taxas de pânico. A referência internacional é de US$ 800 a US$ 1.500 por hora de especialista sênior de IR. No mercado brasileiro, um engajamento emergencial pequeno e bem delimitado raramente sai abaixo de R$ 30–80 mil; um ransomware de médio porte com perícia, restauração e notificação tipicamente cai na faixa de R$ 150 mil a R$ 500 mil ou mais, dependendo de dias de paralisação e horas de perícia. Some a isso o custo invisível: o tempo até o time começar, porque sem contrato você gasta horas críticas cotando, aprovando orçamento e assinando papel com a empresa parada.

No modelo RETAINER (você contrata antes, em tempo de paz), há duas componentes. Uma mensalidade/anuidade de prontidão — que no mercado internacional vai de US$ 10 mil a US$ 100 mil por ano conforme o porte, e que no Brasil, para pequenas e médias empresas, costuma ficar na faixa de R$ 2 mil a R$ 15 mil por mês — e uma taxa horária de perícia já contratada e descontada para quando o incidente acontecer (a referência internacional de hora contratada é US$ 175–400, contra os US$ 800–1.500 emergenciais). Muitos retainers ainda convertem horas não usadas em assessment, simulações e hardening, de modo que o dinheiro não é desperdiçado se nada acontecer.

A aritmética favorece o retainer de forma consistente. Um exemplo do próprio mercado: 500 horas de resposta a taxa emergencial de US$ 1.000/h custam US$ 500 mil; as mesmas 500 horas a taxa contratada de US$ 300/h custam US$ 150 mil, mais a anuidade de US$ 30 mil — total de US$ 180 mil, contra US$ 500 mil. Uma economia de quase três vezes, antes mesmo de contar o ganho de iniciar horas mais cedo. Para dimensionar o seu caso, comece pelo Intelligence Center: o diagnóstico gratuito estima o tamanho do seu ambiente e do seu risco, que é o que define em qual faixa você cai.

Tabela: o custo de um incidente sem preparo vs. com plano de IR

A forma mais clara de enxergar o valor de contratar resposta a incidentes antes é colocar lado a lado o mesmo incidente — um ransomware de médio porte com indício de vazamento — nos dois cenários: a empresa que não tinha nada contratado e a empresa que tinha um retainer de IR ativo. Os componentes são os mesmos; o que muda é o preço de cada um e, sobretudo, a velocidade. A tabela abaixo (no bloco comparativo desta página) detalha item a item. Aqui vale destacar a lógica por trás de cada linha.

O início da resposta é a diferença mais cara de todas. Sem preparo, do momento em que você percebe o incidente até o time começar a agir costumam se passar de 1 a 3 dias — tempo de achar fornecedor, fechar contrato emergencial e aprovar orçamento. Com retainer, o SLA garante início em horas. Cada hora a mais de paralisação é receita perdida e estrago que se alastra, então comprimir esse intervalo é o que mais reduz o custo total. Não por acaso, a IBM mostra que violações contidas em menos de 200 dias custaram cerca de US$ 1 milhão a menos que as que se arrastaram além disso.

A taxa de perícia é a segunda diferença. As mesmas horas de especialista custam de 2 a 4 vezes mais no modo emergencial. E a terceira é a parte regulatória: sem preparo, a notificação à ANPD e aos titulares é feita às pressas, com risco de errar prazo e agravar a dosimetria da sanção; com plano, o fluxo jurídico-regulatório já está mapeado. O efeito combinado é o que a IBM quantifica: empresas com equipe de IR e plano testado tiveram custo médio de violação 58% menor (US$ 3,26 milhões contra US$ 5,29 milhões), e o plano testado, isoladamente, reduz em média US$ 2,66 milhões da conta — o maior redutor individual do relatório.

Em resumo: o cenário 'sem preparo' não é apenas mais caro em cada linha — ele é mais caro justamente nas linhas que mais pesam (paralisação e perda de negócio), e é mais lento exatamente onde a velocidade vale mais. O retainer não elimina o incidente; ele transforma um evento catastrófico e imprevisível em um custo controlado e gerenciável.

Gestão de Ameaças · Grátis

Sem cartão, sem compromisso — entenda o seu risco real antes de investir.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

LGPD, ANPD e o custo regulatório do vazamento

Quando o incidente envolve dados pessoais — e a maioria dos ransomwares modernos rouba dados antes de criptografar, justamente para extorquir duas vezes — a resposta deixa de ser só técnica e passa a ser também jurídica e regulatória. Ignorar essa camada é uma das formas mais caras de errar, porque o custo regulatório se soma ao técnico e pode, sozinho, superá-lo.

A LGPD (Lei nº 13.709/2018) prevê, no art. 48, o dever de comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 15/2024 detalhou o procedimento e o prazo dessa comunicação. O ponto prático: o relógio da notificação começa a correr cedo, e quem descobre o vazamento e não comunica passa a ter, na linguagem da dosimetria, a omissão considerada contra si. A Resolução CD/ANPD nº 4/2023 regulamenta como a ANPD calcula a sanção, com base nos critérios do art. 52, §1º da LGPD — gravidade, boa-fé, vantagem auferida, condição econômica, reincidência, grau do dano, cooperação e, crucialmente, a adoção demonstrada de mecanismos internos de mitigação.

Esse último critério é onde a resposta a incidentes vira atenuante concreto. Ter um plano de resposta, agir rápido, conter, notificar dentro do prazo e cooperar com a autoridade são exatamente os comportamentos que a dosimetria recompensa com sanção menor. O inverso — descobrir, esconder, demorar — agrava. As sanções da LGPD vão de advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração (art. 52). E não é mais teórico: a ANPD saiu da fase de orientação e passou a aplicar sanções, com fiscalização temática em setores como saúde e biometria.

Por isso, um bom serviço de resposta a incidentes no Brasil não entrega só perícia técnica — entrega o pacote: contenção, evidência forense preservada (que pode ser necessária em juízo ou perante a ANPD), apoio à notificação regulatória dentro do prazo e comunicação aos titulares. Comprar IR olhando só para a parte técnica e descobrir, no meio do incidente, que ninguém cuida da parte da ANPD é descobrir tarde que metade do custo ficou descoberta. Na hora de contratar, confirme explicitamente que o escopo cobre o fluxo LGPD/ANPD.

Retainer vs. emergencial: por que sob demanda custa muito mais

A pergunta que fecha a decisão é direta: se eu posso simplesmente ligar para alguém quando precisar, por que pagar um retainer mensal por algo que talvez nunca use? A resposta tem três camadas, e todas apontam para o mesmo lugar.

Primeira camada, o preço da hora. No emergencial você compra no pior momento possível, sem poder de negociação, a taxas de 2 a 4 vezes a contratada. É o prêmio de pânico, e ele é estrutural — não é o fornecedor sendo ganancioso, é o mercado precificando urgência, disponibilidade imediata e o risco de mobilizar um time sênior fora de qualquer planejamento. Segunda camada, o tempo até começar. Sem contrato, antes de a primeira hora de perícia rodar, você gasta horas ou dias preciosos cotando fornecedores, validando idoneidade, fechando contrato e liberando orçamento — tudo com a empresa parada e o estrago se espalhando. O retainer compra um SLA: alguém atende e começa em horas. Como a conta do incidente é dominada pela paralisação, comprimir esse intervalo é o maior gerador de economia.

Terceira camada, e a mais subestimada, o preparo prévio. Um time que entra a frio no seu ambiente no dia do incidente precisa primeiro entender sua rede, seus sistemas e seus backups — tempo que você paga a taxa de pânico. Um time em retainer já fez um assessment inicial, já conhece sua topologia, já sabe onde estão os dados críticos e se seus backups prestam. Ele começa contendo, não estudando. E nos meses em que nada acontece, as horas do retainer não se perdem: viram simulações, testes de plano (o tal plano testado que a IBM aponta como o maior redutor de custo), revisão de backups e hardening — ou seja, viram prevenção que reduz a probabilidade e o tamanho do próximo incidente.

A conclusão honesta é esta: o retainer não é seguro contra um evento improvável; é gestão de um evento que, estatisticamente, vai acontecer com a maioria das empresas em algum momento. Ele troca um custo catastrófico, imprevisível e mal-negociado por um custo mensal modesto e previsível, com SLA garantido. Para quem opera sistemas dos quais o negócio depende — e-commerce, fintech, SaaS, qualquer empresa com dados de clientes — a pergunta não é 'vale a pena?', é 'eu consigo absorver uma paralisação de dias e uma conta de seis dígitos no pior dia da empresa, sem nada contratado?'. Se a resposta é não, o retainer já se pagou. Comece pelo diagnóstico gratuito do Intelligence Center para ver seu risco atual, considere o plano de SOC 24x7 para detectar cedo e reduzir o impacto, e estruture o plantão com o plano de Resposta a Incidentes 24x7.

Mesmo ransomware de médio porte: sem preparo (emergencial) vs. com retainer de IR

Componente do custoSem preparo (resposta emergencial)Com retainer de IR contratado
Tempo até o time começar a agir1 a 3 dias (cotar, contratar, aprovar orçamento com a empresa parada)Horas — SLA de início garantido em contrato
Taxa horária de perícia forenseDe pânico (ref. US$ 800–1.500/h); sem poder de negociaçãoContratada e descontada (ref. US$ 175–400/h), 2 a 4x menor
Custo da paralisação (downtime)Máximo — dias parados; ref. IBM até US$ 125 mil/hora em grandesReduzido — contenção começa cedo, restauração mais rápida
Conhecimento prévio do ambienteZero — time estuda sua rede a frio, no relógio de pânicoJá fez assessment, conhece topologia e validou backups
Notificação LGPD/ANPDÀs pressas, risco de errar prazo e agravar a dosimetriaFluxo jurídico-regulatório mapeado; notificação no prazo (Res. 15/2024)
Decisão sobre resgateTomada no desespero, sem opção de restauração validadaAvaliada com time técnico e jurídico; restauração por backup quando viável
Previsibilidade do custo totalImprevisível; tipicamente R$ 150 mil a R$ 500 mil+ no caso médioMensalidade modesta (ref. PME R$ 2–15 mil/mês) + horas a taxa baixa
Efeito medido pela IBMBase de comparação (custo cheio da violação)Custo médio de violação 58% menor com equipe + plano testado

Termos-chave

Resposta a Incidentes (IR — Incident Response)
Conjunto de ações técnicas, jurídicas e organizacionais para detectar, conter, erradicar e recuperar a operação após um incidente de segurança (ransomware, invasão, vazamento). Inclui perícia forense, restauração segura e apoio à notificação regulatória.
Retainer de IR (plantão contratado)
Contrato firmado em tempo de paz que garante disponibilidade 24x7 de um time de resposta, com SLA de início (horas) e taxa horária de perícia já negociada e descontada. Pago como mensalidade ou anuidade de prontidão; horas não usadas costumam virar simulações e hardening.
Ransomware de dupla extorsão
Ataque em que o criminoso primeiro exfiltra (rouba) os dados e só depois os criptografa, extorquindo a vítima duas vezes: para devolver o acesso e para não publicar os dados vazados. Por isso quase todo ransomware moderno também é um vazamento sujeito à LGPD.
Tempo de identificação e contenção (MTTI/MTTC)
Quanto tempo, em média, leva entre o início de uma violação e sua identificação e contenção. A IBM mediu 258 dias em 2024. Quanto maior esse tempo, maior o custo — por isso detecção (SOC) e início rápido (retainer) são os principais redutores de prejuízo.
Dosimetria da ANPD
Método pelo qual a ANPD calcula a sanção administrativa por violação à LGPD, regulado pela Resolução CD/ANPD nº 4/2023 e pelos critérios do art. 52, §1º. Considera gravidade, cooperação, reincidência e a adoção demonstrada de medidas de mitigação — o que torna ter resposta a incidentes um atenuante concreto.
Downtime (paralisação não planejada)
Período em que sistemas críticos ficam indisponíveis por causa do incidente. É o maior componente do custo de um ataque: a IBM estima que pode chegar a US$ 125 mil por hora em organizações maiores. Reduzir o downtime é o objetivo central da resposta rápida.
SOC 24x7 (Security Operations Center)
Centro de operações de segurança que monitora o ambiente continuamente para detectar ataques cedo. Atua antes da resposta a incidentes, encurtando o tempo até a detecção e, com isso, reduzindo o tamanho e o custo do estrago.

Como decidir e contratar bem

  1. Dimensione seu risco antes de cotar preço: rode o diagnóstico gratuito no Intelligence Center para mapear seu ambiente (quantos sistemas, quais dados sensíveis, exposição atual). É isso que determina em qual faixa de preço você cai — sem isso, qualquer cotação é chute.
  2. Decida o modelo certo para o seu porte: se sua operação depende de sistemas que não podem parar (e-commerce, fintech, SaaS, qualquer base de clientes), contrate um retainer de IR antes de precisar. Resposta emergencial sem contrato só faz sentido como último recurso, nunca como estratégia.
  3. Confirme o SLA de início por escrito: pergunte em quantas horas o time começa a agir após o acionamento, em horário comercial e fora dele. Esse número é o que mais reduz seu custo real. Desconfie de quem não cravar um SLA.
  4. Verifique se o escopo cobre o fluxo LGPD/ANPD: o serviço deve incluir preservação de evidência forense, apoio à notificação à ANPD no prazo da Resolução CD/ANPD nº 15/2024 e comunicação aos titulares — não só a parte técnica.
  5. Pergunte sobre o preparo prévio: um bom retainer faz assessment inicial, conhece sua topologia e valida seus backups antes do incidente. Confirme que as horas não usadas viram simulações, testes de plano e hardening — não dinheiro perdido.
  6. Compare taxa horária contratada vs. emergencial: peça explicitamente a taxa de perícia já descontada do retainer e compare com a taxa emergencial do mesmo fornecedor. A diferença (tipicamente 2 a 4 vezes) é o seu ganho real.
  7. Cheque qualificação e idoneidade do time: experiência comprovada com ransomware, uso de frameworks reconhecidos (MITRE ATT&CK para mapear o atacante), capacidade de produzir relatório forense que sirva à ANPD e à Justiça. No pior dia, você quer gente que já fez isso antes.
  8. Combine detecção e resposta: contrate o SOC 24x7 para enxergar o ataque cedo e o plano de Resposta a Incidentes 24x7 para agir rápido. Os dois juntos atacam a variável que domina o custo — o tempo.
  9. Releia o contrato como contrato, não como folheto: limites de horas incluídas, o que conta como 'fora do escopo', custo de horas extras, confidencialidade e quem é dono das evidências. Negocie isso em tempo de paz, nunca durante o incidente.

Perguntas frequentes

Quanto custa, na prática, responder a um ransomware no Brasil?

Depende do escopo, mas dá para situar. Um caso emergencial pequeno e bem delimitado raramente sai abaixo de R$ 30–80 mil. Um ransomware de médio porte com perícia forense, restauração e notificação à ANPD tipicamente cai na faixa de R$ 150 mil a R$ 500 mil ou mais, dominado pelos dias de paralisação e pelas horas de perícia (a referência é de pelo menos ~150 horas de resposta). Com um retainer ativo, a mesma resposta custa significativamente menos, porque a taxa horária é contratada (2 a 4 vezes menor que a emergencial) e o início é mais rápido. Como referência de magnitude do problema, a IBM aponta custo médio de violação no Brasil de R$ 6,75 milhões (2024) e R$ 7,19 milhões (2025).

Vale a pena pagar um retainer mensal se talvez eu nunca use?

Para quem opera sistemas dos quais o negócio depende, sim. O retainer troca um custo catastrófico, imprevisível e mal-negociado (a resposta emergencial no pior dia da empresa) por um custo mensal modesto e previsível, com SLA de início garantido. E você não desperdiça dinheiro nos meses sem incidente: as horas viram assessment, simulações, testes do plano e hardening — prevenção que reduz a chance e o tamanho do próximo ataque. A IBM mostra que empresas com plano de IR testado tiveram custo de violação 58% menor. A pergunta certa não é 'vou usar?', é 'consigo absorver dias parados e uma conta de seis dígitos sem nada contratado?'.

Qual a diferença entre resposta emergencial e retainer?

Resposta emergencial é você ligar para um fornecedor com o incidente já em curso, sem contrato prévio: paga taxa de pânico (referência: US$ 800–1.500/hora), espera horas ou dias para o time começar e negocia tudo no pior momento possível. Retainer é contratar antes, em tempo de paz: você garante SLA de início em horas, taxa de perícia já descontada (referência: US$ 175–400/hora) e um time que já conhece seu ambiente. O retainer é, em quase todos os cenários, de 2 a 4 vezes mais barato por hora e muito mais rápido para começar — e é a velocidade que mais reduz o custo total.

Devo pagar o resgate do ransomware?

Em geral, não — e a tendência do mercado confirma: 63% das organizações optaram por não pagar (IBM, 2025). Pagar não garante a chave de descriptografia, não impede a publicação dos dados já roubados, financia o crime e pode ter implicações legais. Além disso, mesmo pagando, você ainda terá perícia, restauração, notificação à ANPD e perda de negócio — o resgate é a menor parte da conta. A decisão deve ser tomada com o time de resposta a incidentes e assessoria jurídica, nunca no calor do desespero. Um bom IR muitas vezes restaura a operação a partir de backups íntegros sem qualquer pagamento.

Como escolher um bom fornecedor de resposta a incidentes?

Olhe quatro coisas. Primeiro, SLA de início por escrito (em quantas horas o time começa, 24x7). Segundo, escopo completo: perícia técnica mais o fluxo LGPD/ANPD (notificação no prazo, preservação de evidência). Terceiro, qualificação real: experiência comprovada com ransomware, uso de frameworks como MITRE ATT&CK e capacidade de produzir relatório forense que sirva à autoridade e à Justiça. Quarto, preparo prévio: o fornecedor faz assessment inicial e conhece seu ambiente antes do incidente, ou só aparece a frio no dia? Negocie tudo em tempo de paz; quem fecha contrato durante o incidente sempre fecha em desvantagem.

O SOC 24x7 substitui a resposta a incidentes?

Não — eles são complementares e atacam momentos diferentes. O SOC 24x7 é detecção contínua: ele enxerga o ataque cedo, encurtando o tempo até a identificação (a IBM mediu 258 dias médios em 2024) e, com isso, reduzindo o tamanho do estrago antes que vire crise. A resposta a incidentes é a ação quando o incidente acontece: contenção, perícia, erradicação, restauração e notificação. O SOC reduz a probabilidade e o impacto; o IR resolve quando o impacto vem. Juntos, atacam a variável que domina o custo de qualquer ataque, que é o tempo. O ideal é ter os dois.

Um vazamento de dados me obriga a avisar a ANPD? Quanto isso custa?

Sim, se o incidente puder acarretar risco ou dano relevante aos titulares (art. 48 da LGPD), há dever de comunicar à ANPD e aos afetados, no prazo da Resolução CD/ANPD nº 15/2024. O custo tem duas partes: a operacional (assessoria jurídica, redação da comunicação, suporte aos titulares) e o risco de sanção. As multas vão até 2% do faturamento, limitadas a R$ 50 milhões por infração (art. 52). O ponto crítico: agir rápido, conter e notificar no prazo são atenuantes na dosimetria da ANPD; descobrir e esconder é agravante. Por isso um bom serviço de IR no Brasil já inclui o apoio à notificação no escopo.

Sou uma empresa pequena. Resposta a incidentes não é só para grandes?

Pelo contrário. Empresas pequenas e médias costumam ser alvo justamente por terem menos defesa, e absorvem pior o impacto: uma paralisação de dias ou uma multa da LGPD pode ser fatal para um caixa enxuto. A boa notícia é que existem faixas proporcionais ao porte — retainers para PMEs no Brasil costumam ficar na ordem de R$ 2 mil a R$ 15 mil por mês, contra contas emergenciais que facilmente passam de seis dígitos. Comece pelo diagnóstico gratuito do Intelligence Center para entender seu risco real e dimensionar o que faz sentido. O objetivo não é comprar o plano mais caro, é não ficar exposto ao cenário sem nenhum preparo.

Referências

  • IBM Cost of a Data Breach 2024 — custo médio Brasil R$ 6,75 mi; tempo de identificação/contenção de 258 dias — IBM Security / ABES — relatorio-da-ibm-custo-medio-de-uma-violacao-de-dados-no-brasil
  • IBM Cost of a Data Breach 2025 — custo médio Brasil R$ 7,19 mi; plano de IR testado como maior redutor de custo — IBM — ibm.com/reports/data-breach
  • Resolução CD/ANPD nº 15/2024 — comunicação de incidentes de segurança à ANPD e aos titulares — ANPD — gov.br/anpd
  • Resolução CD/ANPD nº 4/2023 e art. 52 da LGPD — dosimetria e sanções administrativas (multa até 2%, limitada a R$ 50 mi) — ANPD — gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria
  • Faixas de mercado de IR — hora emergencial US$ 800–1.500 vs. contratada US$ 175–400; retainer US$ 10k–100k/ano — IncidentCost.com / Cynet — incidentcost.com/response-cost
  • MITRE ATT&CK — framework de táticas e técnicas adversárias usado em perícia e resposta a incidentes — MITRE — attack.mitre.org

Como a Decripte resolve isso

Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.

O pior momento para contratar resposta a incidentes é durante o incidente — com a empresa parada e o relógio correndo, você paga a taxa de pânico e ainda espera o time chegar. Inverta a lógica enquanto está em paz: comece pelo diagnóstico gratuito no Intelligence Center para enxergar onde você está exposto, ative o SOC 24x7 para detectar o ataque cedo e estruture o plantão com o plano de Resposta a Incidentes 24x7. É a diferença entre um custo mensal previsível e uma conta de seis dígitos no pior dia da sua empresa.

Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.