Com relação ao Plano de Gestão de Incidentes Cibernéticos e ...

Plano de Gestão de Incidentes Cibernéticos para a administração pública federal, as ATIVIDADES de VERIFICAR se há correlação com outros incidentes e de estabelecer a prioridade para o TRATAMENTO do incidente estão incluídas no processo de análise de um incidente cibernético.

Gab: Errado. Pois, somente verifica e não trata!

.. estão incluídas no processo de TRIAGEM ...

4. TRATAMENTO DE INCIDENTES CIBERNÉTICOS

O tratamento de incidentes cibernéticos inicia-se imediatamente após a detecção ou a notificação de provável ocorrência destes, pelo processo de triagem, seguido pelo processo de análise.

4.1. Triagem

O processo de triagem consiste em:

- confirmar se se trata de um incidente cibernético e, caso este não pertença à constituency, redirecionar a informação para o responsável pelo tratamento;

- verificar se há correlação com outros incidentes;

- estabelecer a prioridade para o tratamento do incidente;

- registrar o incidente na base de incidentes cibernéticos; e

- atribuir o tratamento do incidente ao analista ou à equipe responsável.

Cada ETIR deve estabelecer suas próprias prioridades, em função do tipo do incidente cibernético, considerando os planos e as peculiaridades do setor em que atua, a estratégia de negócio da sua organização, sua área de atuação, cadeia de suprimentos, geolocalização e outros fatores considerados relevantes. Após estabelecer essa priorização, a ETIR deverá classificar o incidente cibernético de acordo com o impacto na disponibilidade, integridade, confidencialidade e autenticidade no ativo de informação em um dos seguintes níveis: crítico, alto, médio ou baixo.

4.2. Análise

O processo de análise consiste nas atividades listadas abaixo: 

- validar as informações tratadas na triagem, ratificando-as, complementando-as ou retificando-as;

- identificar e avaliar atividades anômalas em relação à linha de base conhecida;

- identificar pelo menos uma parte da cadeia de ataque para permitir a definição das atividades de resposta; 

- complementar e adicionar novos dados a partir da colaboração das fontes utilizadas na detecção; e

- incluir todos os dados coletados na documentação sobre o incidente para viabilizar as ações de pós-incidente.

A atividade de "verificar correlação com outros incidentes" é uma atividade que pode ser realizada em qualquer fase do processo de gestão de incidentes cibernéticos, inclusive na fase de análise. Portanto, creio que a questão é passível de recurso.