1. Objetivo
Contratação de fornecedor para prover recurso para liderar funcionalmente o processo de Resposta a Incidentes de Segurança da Informação (CSIRT), atuando como elo estratégico entre ameaças emergentes, capacidades de detecção do SOC e evolução contínua dos controles de segurança, garantindo resiliência operacional, proteção de dados sensíveis de saúde e continuidade assistencial em ambientes hospitalares e operadoras de plano de saúde.
2. Escopo dos Serviços
Alocação em modelo híbrido, até 3 vezes p
3. Principais Responsabilidades
Liderança de CSIRT e Resposta a Incidentes
· Liderar o CSIRT corporativo, coordenando a resposta a incidentes de segurança da informação, incluindo incidentes de alto impacto em ambientes hospitalares e sistemas assistenciais.
· Definir, manter e evoluir playbooks de resposta a incidentes, considerando cenários como ransomware, indisponibilidade de sistemas clínicos, vazamento de dados sensíveis e ataques direcionados.
· Atuar como ponto focal técnico durante incidentes críticos, apoiando decisões de contenção, erradicação e recuperação.
· Conduzir post-mortems, lições aprendidas e planos de melhoria após incidentes relevantes.
Threat Intelligence e Tradução de Ameaças em Casos de Uso
· Monitorar e analisar ameaças emergentes, campanhas ativas e tendências de ataque relevantes para o setor de saúde (hospitais e operadoras).
· Traduzir informações de Threat Intelligence em casos de uso acionáveis para o SOC, incluindo:
o Regras de correlação
o Casos de detecção
o Ajustes de alertas e severidades
· Manter alinhamento entre MITRE ATT&CK, ameaças reais e capacidades de detecção existentes.
Evolução Contínua do SOC e dos Controles de Segurança
· Conduzir avaliações periódicas da efetividade dos alertas atuais do SOC, identificando:
o Falsos positivos recorrentes
o Lacunas de detecção
o Alertas com baixo valor operacional
· Propor e executar planos de otimização da operação de segurança, incluindo melhoria de:
o Processos
o Ferramentas
o Fluxos de escalonamento
· Trabalhar de forma integrada com times de firewall, redes, infraestrutura, IAM e cloud para evolução dos controles técnicos.
Contexto Regulatório e de Negócio (Saúde Assistencial)
· Garantir que processos de resposta a incidentes e controles de segurança considerem:
o Dados sensíveis de saúde (LGPD – dados pessoais sensíveis)
o Continuidade do atendimento assistencial e impacto clínico
o Ambientes híbridos (on‑prem, datacenter hospitalar e cloud)
· Apoiar áreas de GRC, Jurídico e Compliance em incidentes com potencial regulatório ou de notificação.
·
4. Requisitos Técnicos
· Experiência comprovada em Resposta a Incidentes (CSIRT / CSOC).
· Forte conhecimento em:
· SOC, SIEM, EDR, NDR e logs de segurança
· MITRE ATT&CK, kill chain e análise de ameaças
· Análise de incidentes complexos (ransomware, APT, vazamento de dados)
· Capacidade de desenhar e evoluir casos de uso de detecção.
· Vivência em ambientes críticos ou regulados
· Ferramentas/Fabricantes: Crowdstrike (EDR, IDR, Firewall), TrendAI (Deep Security, CCI/NDR, CAS), Forescout, Netskope (SWG, NPA e DLP), Firewalls Checkpoint, Google SecOps, Akamai (WAF, Bot Protection, Guardicore),
5. Requisitos Comportamentais
· Visão estratégica aliada à execução prática.
· Capacidade de traduzir risco técnico em impacto de negócio.
· Liderança técnica e influência sem autoridade formal.
· Comunicação clara em cenários de crise.
· Mentalidade de melhoria contínua.
6.Diferenciais
· Experiência prévia em hospitais, operadoras de saúde ou ambientes assistenciais.
· Experiência com exercícios de tabletop, simulações de incidentes e purple team.
· Conhecimento de frameworks de resposta a incidentes (NIST, ISO 27035).
7. Certificações Requeridas / Desejáveis
· GIAC Certified Intrusion Analyst
· GIAC Certified Incident Handler
· GIAC Certified Enterprise Defender
· Microsoft Security Operations Analyst (SC-200)
· Certified Information Systems Security Professional
· ITIL Foundation
· Cobit
· ISO 27001
8. Experiência Comprovada
– Participação em integração entre ferramentas de segurança (SIEM, NDR, XDR);
– Vivência na operação de ambientes com SOC, SIEM e IDS/IPS;
– Vivência na operação de ambientes híbridos (Data Center, Cloud e localidades);
– Participação em incidentes críticos (P1) com condução de RCA;