Cybersecurity não é suficiente: Governança e Gestão da Segurança da Informação para proteger o negócio
Os ataques recentes mostram que organizações estão sendo exploradas por criminosos por meio de integrações, credenciais e relações de confiança. Nos últimos meses, o sistema financeiro brasileiro evidenciou uma mudança relevante no modelo de ataque: não se trata mais de invasões sofisticadas ao core tecnológico, mas da exploração de relações de confiança, integrações e credenciais legítimas. Nesse contexto, fica claro que Cybersecurity, isoladamente, não é suficiente para proteger o negócio.
O que mudou agora
Neste período criminosos desviaram do ecossistema financeiro nacional cerca de R$ 1,8 bilhão. Parte desse valor foi recuperada ou bloqueada, mas o montante permanece expressivo — e, mais importante que o valor, é o padrão dos ataques. Diferentemente do que muitos imaginam, esses ataques não tiveram como alvo contas de pessoas físicas ou jurídicas, mas sim contas institucionais e a própria infraestrutura do sistema financeiro. Isso reduz a percepção pública de impacto, mas não diminui a gravidade do risco.
Vetor e exploração
Há um ponto crítico que precisa ser destacado: em todos esses eventos, os criminosos entraram pela porta da frente. Não houve quebra de criptografia sofisticada, nem exploração direta de vulnerabilidades técnicas clássicas. Isso evidencia que, embora necessárias, as ferramentas de Cybersecurity e as certificações existentes não foram suficientes. O vetor de ataque, com base nas informações disponíveis, concentrou-se em três elementos principais: parceiros e provedores de tecnologia, fragilidades na gestão de credenciais (identidade) e integrações com sistemas de alta velocidade, como o SPB e o Pix.
Impacto e alcance
E o impacto foi além das organizações diretamente envolvidas — trata-se de um risco sistêmico. A Governança e a Gestão da Segurança da Informação consideram o ambiente de forma ampla: todos os ativos, todos os vetores de acesso e, principalmente, a efetividade dos controles existentes. O cenário observado indica uma situação recorrente: existem controles, mas há baixa efetividade na gestão desses controles.
Provedores de tecnologia
Pelas informações divulgadas, dois pontos foram explorados de forma consistente pelos criminosos: provedores de tecnologia e credenciais de acesso. Aparentemente, a maturidade e a rigidez dos controles de segurança da informação em alguns provedores do ecossistema financeiro não estão no mesmo nível das instituições financeiras tradicionais ou do próprio Banco Central. Isso não é trivial. Atacar diretamente grandes instituições financeiras exige alto nível de esforço e apresenta maior probabilidade de detecção. Como consequência, criminosos buscam caminhos alternativos — e encontram nos provedores um vetor mais acessível. É importante destacar que muitos desses provedores possuem boas ferramentas de proteção e até certificações. Ainda assim, como os eventos demonstram, isso não é suficiente. O ponto crítico não é apenas a existência de controles, mas a adequação da maturidade desses controles à criticidade do ambiente.
Credenciais de acesso
As credenciais — especialmente de usuários com alto privilégio — tornaram-se o principal vetor de acesso. Com credenciais válidas, os criminosos operam de forma autorizada, executando transações dentro das regras do sistema. Em muitos casos, os mecanismos de monitoramento só identificaram o incidente quando um volume elevado de transações já estava em andamento. Isso evidencia fragilidades relevantes na gestão de identidade e acesso. Entre os controles que, aparentemente, estavam ausentes ou com baixa efetividade, destacam-se: autenticação multifator robusta e contextual, validação de dispositivo e localização, análise comportamental, segregação de funções, implementação prática de Zero Trust, controle formal de autorizações, restrição por horários de operação e gestão de mudanças estruturada. Em alguns casos, a ausência de segregação de funções foi particularmente crítica, permitindo que um único profissional acumulasse capacidades incompatíveis com boas práticas de controle.
Risco sistêmico: uma nova dimensão
Os incidentes recentes evidenciam características típicas de risco sistêmico: múltiplas instituições afetadas simultaneamente, dependência de fornecedores comuns e potencial efeito cascata. Esse tipo de risco ultrapassa os limites de uma organização individual, afetando o ecossistema como um todo — financeira, operacional e reputação.
O que precisa aprimorar
Esse cenário exige uma evolução clara na forma como as organizações tratam a segurança da informação: inclusão do risco de terceiros no nível estratégico, integração efetiva entre segurança, risco e continuidade, adoção prática do conceito de Zero Trust, reconhecimento das credenciais como ativos críticos, fortalecimento da resiliência organizacional, valorização do fator humano, implementação de programas estruturados de gestão de riscos e envolvimento direto do Conselho. Segurança não pode ser tratada apenas como orçamento ou tecnologia. Deve ser tratada como decisão estratégica sobre: qual risco residual a organização aceita, quais exposições são intoleráveis, qual impacto financeiro e reputacional é aceitável e quanto vale manter a operação com confiança.
Conclusão
O sistema financeiro brasileiro continua sólido, mas o modelo de ataque evoluiu. O risco não está mais apenas dentro das instituições, mas no ecossistema que as conecta. Organizações que não evoluírem sua abordagem de segurança para uma visão holística, integrada e orientada à governança estarão expostas não apenas a perdas financeiras, mas a impactos estratégicos relevantes. Segurança hoje não é apenas proteger sistemas. É garantir a continuidade e a confiança no negócio.