Quando o risco cibernético nasce na sala de reuniões

02 Apr 2026

clipping-reuniaoA maior ameaça à segurança digital das empresas não vem de hackers sofisticados: vem das decisões estratégicas tomadas por CEOs, CFOs e CTOs que, sem perceber, abrem portas para ataques tão devastadores quanto qualquer invasão externa.

De acordo com dados de mercado, violações de dados envolvendo terceiros dobraram no ano passado. Ao menos 82% das brechas afetam dados armazenados em nuvem, e mais de 60% dos aplicativos corporativos operam como "shadow IT" – fora do controle das equipes de segurança. No Brasil, onde apenas 5% das organizações atingem maturidade em cibersegurança, o custo médio de um vazamento já alcança R$ 7,19 milhões. Mas, ao contrário do que parece, estas não são falhas técnicas isoladas; são consequências diretas de escolhas de negócio, tais como a terceirização sem due diligence, migração para nuvem sem planejamento de segurança, contratos sem cláusulas adequadas e estruturas de governança que mantêm o CISO distante das decisões estratégicas.

A segurança cibernética representa, em média, apenas 5,7% do orçamento de TI nas organizações, de acordo com a Forrester. Quando executivos pressionados por resultados trimestrais cortam custos, a segurança é frequentemente a primeira sacrificada.  A consequência é mensurável: organizações com escassez severa de profissionais de segurança pagam R$ 29,6 milhões por violação, contra R$ 20,5 milhões naquelas com equipes adequadas. A diferença de R$ 9,1 milhões por incidente supera qualquer economia obtida com cortes de pessoal.

A nuvem como decisão de negócio e vetor de ataque

A migração para nuvem é, em essência, uma decisão impulsionada por eficiência operacional e redução de custos de infraestrutura. Porém, quando executada sem planejamento adequado de segurança, transforma-se no principal vetor de vulnerabilidades corporativas. Ao menos 82% de todas as violações de dados em 2024 envolveram dados armazenados em nuvem, segundo a IBM. Violações em ambientes multicloud custaram mais de R$ 25 milhões e levaram 283 dias para serem identificadas e contidas.

A abordagem de "lift and shift" – mover sistemas legados para a nuvem sem redesenho de segurança pode se tornar um movimento perigoso. Com 89% das organizações operando em estratégias multicloud e 79% utilizando mais de um provedor, a complexidade se multiplica. Cada ambiente adicional é uma superfície de ataque que precisa ser monitorada, configurada e protegida. Quando a decisão de migrar é tomada pelo CFO ou CEO com foco em TCO, sem envolvimento do CISO, o resultado previsível é uma arquitetura cloud com brechas estruturais.

No Brasil, 47% das violações envolveram dados distribuídos em múltiplos ambientes, com custo médio de R$ 7,29 milhões e ciclo de identificação e contenção de 355 dias. Ambientes de nuvem malconfigurados representaram 15% dos vetores iniciais de ataque no país, com custo de R$ 5,95 milhões por incidente.

Terceirização e supply chain: o risco que dobrou em um ano

Nenhum dado ilustra melhor o impacto de decisões de negócio na cibersegurança do que a explosão de violações via terceiros. O Verizon DBIR 2025, que analisou 22.052 incidentes e 12.195 violações confirmadas em 139 países, revelou que 30% das brechas envolveram fornecedores ou parceiros, o dobro do ano anterior.

O problema central é a desconexão entre decisão de contratação e avaliação de risco. Uma empresa média gerencia hoje 286 fornecedores, mas apenas 49% dos programas de gestão de risco de terceiros têm autoridade para bloquear novos fornecedores por motivos de risco. Apenas 16% das organizações acreditam mitigar efetivamente riscos de terceiros, embora 98% mantenham relacionamento com ao menos um fornecedor que já sofreu violação.

 

No segmento de SOC e NOC terceirizados, o relatório Barracuda Managed XDR 2025 indicou que 66% dos incidentes de segurança envolveram a cadeia de suprimentos ou terceiros. A terceirização de operações de segurança, quando feita sem due diligence rigorosa, cria uma falsa sensação de proteção. O provedor de serviços gerenciados (MSSP) recebe acesso a sistemas críticos e dados sensíveis, e qualquer falha em sua própria segurança torna-se uma falha direta do contratante.

Quando cláusulas de segurança são tratadas como formalidade

Uma das formas mais sutis – e mais perigosas – pelas quais decisões de negócio criam vulnerabilidades é através de contratos de tecnologia sem cláusulas adequadas de segurança. Análises jurídicas especializadas revelam que muitos contratos utilizam linguagem vaga como "medidas razoáveis de segurança" sem especificar padrões, frameworks ou métricas verificáveis.

Empresas que investem em programas estruturados de gestão de risco de terceiros – com avaliações padronizadas, cláusulas de SLA de segurança, direito a auditoria e planos conjuntos de resposta a incidentes – alcançam 40 a 50% mais eficácia na gestão de risco, conforme pesquisa da Gartner. Porém, apenas 4% das organizações confiam que seus questionários de avaliação refletem o risco real do fornecedor.

No Brasil, a LGPD exige que controladores e operadores de dados possam ser responsabilizados solidária ou separadamente por violações. A Resolução CD/ANPD Nº 15/2024 formalizou a obrigação de comunicação de incidentes em 3 dias úteis, com retenção de registros por cinco anos. A nova regulação do Banco Central (Resolução BCB Nº 498/2025) exige que provedores de serviços de TI para o sistema financeiro sejam credenciados, tenham capital mínimo de R$ 15 milhões, nomeiem diretores de segurança da informação e mantenham separação de ambientes computacionais.

Decisões de arquitetura que se tornam vulnerabilidades estruturais

Escolhas técnicas aparentemente internas, como o desenho de APIs, a adoção de microsserviços ou a manutenção de sistemas legados, são, na realidade, decisões estratégicas com impacto direto na postura de segurança.

Estudos de mercado apontam que, em 2024, mais de 90% das empresas tiveram problemas de segurança em APIs em produção, e apenas 7,5% implementaram programas dedicados de teste e modelagem de ameaças em APIs. O volume de APIs cresceu 167% naquele ano, expandindo a superfície de ataque.

 

O débito técnico é outro multiplicador silencioso de risco. Quase 46% das vulnerabilidades exploradas conhecidas (KEV) catalogadas pela CISA estão vinculadas a software ou sistemas operacionais em fim de vida, que continuam operando porque a decisão de modernizá-los nunca foi priorizada. No Brasil, o ransomware WannaCry – que explora uma vulnerabilidade de 2017 – ainda responde por 40,59% das detecções de ransomware na América Latina, segundo a Kaspersky.

Segurança: premissa básica do negócio

A tendência regulatória global – da SEC ao NIS2, do DORA à E-Ciber brasileira – caminha inexoravelmente para a responsabilização pessoal de executivos e conselheiros. A pergunta já não é se decisões de negócio afetam a cibersegurança, mas quando organizações começarão a tratar cada decisão estratégica como uma decisão de segurança. No Brasil, com maturidade média de 5,8 em 10 e custo de violações em alta, essa transformação é urgente.

Cibersegurança não pode ser tratada apenas como responsabilidade do CISO. Ela precisa ser incorporada à matriz de decisão do C-level. Isso significa que projetos de transformação digital devem incluir avaliação formal de risco cibernético antes da implementação; que terceirizações críticas devem passar por due diligence técnica e contratual robusta; que contratos de tecnologia precisam conter obrigações claras e verificáveis; e que o conselho de administração deve acompanhar indicadores objetivos relacionados a acesso de terceiros, segmentação de ambientes e tempo de resposta a incidentes.

Decisões de negócio moldam a arquitetura de risco de uma organização. Quando tomadas sem integração entre estratégia, tecnologia e governança jurídica, podem produzir vulnerabilidades internas tão relevantes quanto qualquer ataque externo sofisticado. A diferença é que, nesse caso, a porta não foi arrombada. Ela foi aberta.

Sobre a Solo Iron     

Solo Iron é a vertical de cibersegurança da Solo Network especializada em oferecer proteção cibernética corporativa de ponta a ponta, por meio da uma equipe altamente especializada e soluções dos maiores fabricantes de tecnologias de cibersegurança do mundo. Reunindo a expertise e a bagagem de mais de 20 anos de experiência da Solo Network, o portfólio Solo Iron oferece soluções que vão desde a proteção de endpoints até o SOC totalmente gerenciado. Saiba mais em www.soloiron.com.br


Publicado em:
No Varejo
Baguete

São Paulo - SP
 (11) 4062-6971		 Rio de Janeiro - RJ
 (21) 4062-6971
Belo Horizonte - MG
 (31) 4062-6971		 Curitiba - PR
 (41) 4062-6971
Londrina - PR
 (43) 4062-6971		 Maringá - PR
 (44) 4062-6971
Florianópolis - SC
 (48) 4062-6971		 Porto Alegre - RS
 (51) 4062-6971
Brasília - DF
 (61) 4062-6971		 Salvador - BA
 (71) 4062-7479
São Paulo - SP
 (11) 4062-6971		 Rio de Janeiro - RJ
 (21) 4062-6971		 Belo Horizonte - MG
 (31) 4062-6971		 Curitiba - PR
 (41) 4062-6971		 Londrina - PR
 (43) 4062-6971
         
Maringá - PR
 (44) 4062-6971		 Florianópolis - SC
 (48) 4062-6971		 Porto Alegre - RS
 (51) 4062-6971		 Brasília - DF
 (61) 4062-6971		 Salvador - BA
 (71) 4062-7479
São Paulo - SP
 (11) 4062-6971		 Rio de Janeiro - RJ
 (21) 4062-6971		 Belo Horizonte - MG
 (31) 4062-6971		 Curitiba - PR
 (41) 4062-6971		 Londrina - PR
 (43) 4062-6971		 Maringá - PR
 (44) 4062-6971		 Florianópolis - SC
 (48) 4062-6971		 Porto Alegre - RS
 (51) 4062-6971		 Brasília - DF
 (61) 4062-6971		 Salvador - BA
 (71) 4062-7479