< Voltar ao blog
Blockchain

Melhorando a Resposta a Incidentes com a Matriz RACI


Com o surgimento de diversas aplicações descentralizadas trás uma série de benefícios para o mundo como vivemos hoje e representa uma mudança fundamental na maneira como interagimos digitalmente. Por serem baseadas na tecnologia blockchain, essas aplicações trazem maior transparência, liberdade e autonomia para seus usuários. Mas isso não significa que esses usuários estão seguros. Incidentes de segurança podem ir de erros em contratos inteligentes até ataques cross-chain sofisticados, que afetam pontes tecnológicas que conectam blockchains e já causaram prejuízos bilionários.

Nesse cenário, um plano de resposta a incidentes (IRP, do inglês “Incident Response Plan”) robusto e bem ensaiado é fundamental, sendo uma ferramenta vital para garantir a sobrevivência e a sustentabilidade dessas aplicações. Entretanto, um IRP tradicional não pode ser diretamente aplicado na Web3, visto que a natureza distribuída, a ausência de uma autoridade central e a imutabilidade de registros exigem uma abordagem fundamentalmente diferente da tradicional.

Porém, uma das coisas que tem uma grande importância para o sucesso da resposta a um incidente cibernético é a definição clara dos paṕeis e das responsabilidades de cada membro de uma equipe e/ou empresa no processo de resposta ao incidente. E é nesse cenário que surge a Matriz RACI.

Ela é uma ferramenta visual, normalmente uma tabela, que indica quais são os papéis e as responsabilidade de cada pessoa utilizando as seguintes letras:

  • R (Responsible) - Indica o responsável por executar a tarefa.
  • A (Accountable) - Indica o responsável pela execução e aprovação de uma tarefa. É importante que haja apenas um responsável por tarefa.
  • C (Consulted) - Indica quem deve ser consultado antes que uma decisão final seja tomada, fornecendo informações e expertises para a tarefa.
  • I (Informed) - Indica a pessoa que deve ser informada sobre o andamento ou conclusão de uma atividade de maneira unidirecional, sem que ela participe ou seja consultada sobre a tarefa.


Um bom IRP deve incluir uma matriz RACI que indica claramente quais são os papéis de cada membro para cada tarefa que precisa ser executada. Mas antes de montar sua matriz RACI, é importante definir algumas pessoas chaves, sendo essas pessoas as responsáveis por atuar diretamente nos incidentes. De maneira simplificada, podemos ter os seguintes cargos durante um incidente:

  • Comandante do Incidente - É o líder geral do resposta ao incidente, coordenando os esforços, definindo prioridades e tomando decisões críticas.
  • Líder de Forense On-chain - É o especialista responsável por coletar todas evidências relevantes (como transações, endereços, blocos e logs de eventos), traçar o fluxo de eventos e identificar o atacante e determinar qual foi o vetor de ataque.
  • Líder de Contratos Inteligentes - É o desenvolvedor responsável por liderar a análise da vulnerabilidade no código, entender como ela foi explorada e pelo desenvolvimento de uma correção com estratégias de mitigação.
  • Engenheiro de Confiabilidade - É o desenvolvedor e/ou operador responsável pela infraestrutura on-chain, sendo responsável por investigar e mitigar problemas na infraestrutura da aplicação, seja DNS, CDN, Servidores de API, Nós de RPC e pipeline de integração e entrega contínua (CI/CD). Também é responsável por gerar o acesso a segredos e chaves de infraestrutura.
  • Comunicador - É o porta-voz do projeto e/ou da empresa durante a crise, sendo responsável por executar a estratégia de transparência progressiva, redigindo e publicando atualizações nos canais de comunicação, bem como respondendo a perguntas sobre o ocorrido.
  • Jurídico - É a ponte com o mundo legal e regulatório, sendo responsável por aconselhar sobre as obrigações de notificação às autoridades, a preservação de provas e implicações legais do ocorrido (como na proteção de dados, com base na LPGD ou na GDPR). Também é responsável por coordenar a atuação com outras entidades, como exchanges.
  • Guardiões - Detentores das chaves de emergência do protocolo, sendo normalmente um grupo de indivíduos confiáveis que são responsáveis por assinar transações críticas, como a parada de um contrato. Suas ações devem ser baseadas em critérios objetivos e pré-definidos no plano de governança.

Com esses cargos definidos, podemos montar uma matriz RACI simples, que demonstra como cada um deve se comportar em cada tarefa durante a resposta ao incidente. Abaixo está uma matriz que eu desenvolvi e serve de exemplo para que você compreenda a utilização dessa ferramenta.

Essa matriz elimina possíveis confusões sobre as funções de cada um. Por exemplo, ela específica que os Guardiões são responsáveis por executar a assinatura da transação de parada de emergência. Entretanto, o Comandante o Incidente é o aprovador dessa tarefa, sendo responsável por decidir se essa parada é necessária ou não.


Em resumo, a Matriz RACI se mostra como uma ferramenta essencial na complexa e dinâmica área de resposta a incidentes, especialmente no universo da Web3. Ao deixar super claras as funções de Responsável (Responsible), Aprovador (Accountable), Consultado (Consulted) e Informado (Informed), removendo ambiguidades e tornando a coordenação da equipe mais eficiente.

A criação de uma matriz RACI detalhada e adaptada à realidade de cada projeto e/ou empresa é um trabalho fundamental no desenvolvimento de um IRP, e é um dos artefatos mais valiosos do mesmo, e não só melhora a eficácia contra ataques cibernéticos, mas também fortalece a resiliência e a vida útil de aplicações descentralizadas, garantindo uma proteção mais eficiente contra perdas bilionárias e o estrago na reputação.

Artigo escrito por: Lucas Rayan Guerra