Segurança

Cibersegurança para gestores: o que perguntar à sua equipe técnica antes do próximo orçamento

Por Eduarda Mantovani 25 de maio, 2026 25 min de leitura
Cibersegurança para gestores

Uma violação de dados custa, em média, R$ 7,19 milhões às empresas brasileiras, segundo o relatório IBM Cost of a Data Breach 2025. Não é projeção. Esse número cresceu 6,5% em relação ao ano anterior e cobre investigação forense, notificação a titulares, resposta a reguladores, honorários jurídicos e dano reputacional.

O gestor que aprova o orçamento de segurança raramente vem da área técnica. Ele recebe uma apresentação com siglas (SOC, SIEM, EDR, Zero Trust), ouve que “o cenário de ameaças está evoluindo” e precisa decidir se libera R$ 500 mil ou R$ 2 milhões, sem ferramentas para distinguir o que é necessário do que é oportunismo de fornecedor.

Este artigo existe para mudar isso. Não com um glossário de termos, mas com as perguntas certas que um decisor não-técnico faz ao CSO, ao gerente de TI ou ao parceiro de segurança antes de assinar o orçamento. E com o contexto para entender as respostas.

Como LGPD e segurança da informação se conectam no operacional da empresa

Pontos principais

  • Uma violação custa em média R$ 7,19 milhões no Brasil. No setor de saúde, chega a R$ 11,43 milhões (IBM Cost of a Data Breach, 2025).
  • 68% das violações envolvem o fator humano: phishing, credenciais comprometidas e erros operacionais (Verizon DBIR, 2024).
  • O NIST Cybersecurity Framework 2.0 estrutura a defesa em seis funções: Govern, Identify, Protect, Detect, Respond e Recover.
  • SOC terceirizado reduz o tempo médio de contenção em 19 dias em relação a equipes internas isoladas (IBM, 2025).
  • Empresas que adotam automação extensiva em segurança pagam 26% menos por violação: R$ 6,48M contra R$ 8,78M (IBM, 2025).

Por que cibersegurança virou tema de C-level?

Até 2018, segurança da informação era um assunto de TI. O gerente de TI resolvia. O board aprovava o antivírus corporativo e seguia em frente. Esse modelo acabou. Hoje, 83% dos líderes de segurança reportam diretamente ao CEO ou ao board, segundo pesquisa da Gartner (2024). O motivo é simples: o risco de um ataque cibernético parou de ser um risco técnico e virou um risco de negócio.

O que mudou?

Três coisas aconteceram ao mesmo tempo no Brasil. A LGPD (Lei nº 13.709/2018) criou responsabilidade legal direta para os controladores de dados. A ANPD passou de educadora a fiscalizadora ativa. E o volume de incidentes registrados pelo CERT.br cresceu de forma consistente ao longo dos últimos cinco anos, com mais de 1,3 milhão de notificações processadas em 2023 sozinho.

O dado que reposiciona o debate: O custo médio de uma violação no Brasil (R$ 7,19M) é, na maioria das PMEs, maior do que o faturamento anual. Isso significa que uma violação não é um evento que prejudica o lucro. É um evento que pode encerrar a operação. O risco não é de perda marginal. É de inviabilidade.

O perfil do atacante também mudou. Ransomware como serviço (RaaS) democratizou o acesso a ataques sofisticados. Um grupo criminoso sem expertise técnica compra um kit de ransomware no mercado clandestino e o usa contra qualquer empresa com dados valiosos. Não é mais necessário ser grande para ser alvo. É suficiente ser descuidado.

Regulações setoriais agravaram a exposição legal. Instituições financeiras operam sob a Resolução BCB nº 4.658/2018, que exige política de segurança cibernética, plano de resposta a incidentes e relatório anual ao Banco Central. A ANPD publicou a Resolução CD/ANPD nº 2/2022, regulando o tratamento de dados por agentes públicos e orientando o setor privado. Descumprir não é apenas um risco técnico. É exposição regulatória documentada.

O gestor não-técnico precisa entender isso antes de qualquer conversa sobre firewall: o investimento em cibersegurança não é custo de TI. É gerenciamento de risco empresarial.

Como o PL 2338 de regulação de IA amplia a superfície de ataque

O básico que toda empresa precisa ter

O NIST Cybersecurity Framework 2.0 é a referência internacional mais adotada para estruturar programas de segurança. A versão 2.0, lançada em fevereiro de 2024, organiza a defesa em seis funções: Govern (Governar), Identify (Identificar), Protect (Proteger), Detect (Detectar), Respond (Responder) e Recover (Recuperar). Empresas que ainda não têm as primeiras quatro funcionando não estão prontas para nenhum investimento avançado.

Segundo o NIST Cybersecurity Framework 2.0 (fevereiro de 2024), programas maduros de segurança corporativa estruturam sua defesa em seis funções interdependentes: Govern, Identify, Protect, Detect, Respond e Recover. A adição da função Govern na versão 2.0 reconhece que sem responsabilidade executiva definida e métricas de negócio, os outros cinco pilares não sustentam.

O básico não é opcional. Toda empresa que processa dados de terceiros, sejam clientes, funcionários ou fornecedores, precisa ter o seguinte funcionando:

Inventário de ativos e gestão de identidade

Antes de proteger qualquer coisa, a empresa precisa saber o que tem. Isso inclui todos os dispositivos conectados à rede, todas as contas de usuário ativas, todos os sistemas com acesso à internet e todos os serviços de terceiros com credenciais corporativas. O CERT.br estima que a maioria dos ataques bem-sucedidos começa por um ativo desconhecido ou uma conta esquecida.

Gestão de identidade significa que cada pessoa acessa apenas o que precisa para o seu trabalho (princípio do menor privilégio). A saída de um funcionário desativa a conta no mesmo dia. Contas privilegiadas (acesso a sistemas críticos) têm autenticação multifator (MFA) obrigatória. MFA, por si só, bloqueia mais de 99% dos ataques baseados em credencial comprometida, segundo dados da Microsoft (2023).

Backup com teste de restauração

Backup sem teste de restauração é uma ilusão de segurança. A pergunta não é “temos backup?”. É “em quanto tempo conseguimos restaurar os sistemas críticos após um ataque?”. A resposta define o RTO, Recovery Time Objective. Empresas sem resposta para isso não têm continuidade de negócio, têm um plano de papel.

A regra 3-2-1 é o padrão mínimo: três cópias dos dados, em dois tipos diferentes de mídia, com uma cópia offsite (fora das instalações físicas da empresa). Isso garante que um ransomware que criptografa todos os servidores locais não elimine todas as cópias.

Política de atualização e gestão de patches

68% das violações envolvem o fator humano, mas a maioria das brechas exploradas tem correção disponível. O Verizon Data Breach Investigations Report de 2024 mostra que vulnerabilidades com patch disponível continuam sendo a porta de entrada mais comum em ataques externos, porque as empresas simplesmente não atualizam os sistemas a tempo.

Gestão de patches não é instalar atualizações quando lembrar. É um processo com prazo definido: vulnerabilidades críticas corrigidas em até 72 horas; as demais, em até 30 dias. Sem SLA interno, o processo não acontece de forma consistente.

Treinamento de conscientização: phishing e engenharia social

A maioria dos ataques não começa com código malicioso. Começa com um e-mail convincente que um colaborador abre. O treinamento de conscientização não é sobre assustar o time com estatísticas. É sobre criar comportamentos repetíveis: verificar o remetente antes de clicar, não fornecer credenciais por e-mail, reportar e-mails suspeitos sem clicar.

Empresas que fazem simulações de phishing regularmente têm taxa de clique três vezes menor do que as que não fazem, segundo dados da empresa de treinamento KnowBe4 (2024).

Engenheira de TI verifica servidores em data center corporativo com iluminação azul e equipamentos de alta disponibilidade.
Proteção de infraestrutura crítica começa com visibilidade total dos ativos conectados. Foto: Christina Morillo / Pexels

A norma ABNT NBR ISO/IEC 27001:2022 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Não é obrigatória por lei para a maioria das empresas, mas é o padrão de referência para demonstrar maturidade de segurança para clientes, parceiros e auditores. A certificação ISO 27001 começou a aparecer como requisito em contratos B2B enterprise no Brasil. Quem não tem terá cada vez mais dificuldade em concorrer por esses contratos.

O avançado que depende do setor: saúde, financeiro e varejo

Controles básicos são universais. Controles avançados dependem do setor, porque cada setor tem um perfil de risco diferente, um tipo de dado mais valioso para atacantes e um conjunto de regulações específicas. Investir no controle errado para o setor errado é o desperdício mais comum em orçamentos de segurança.

No setor de saúde, o custo médio de uma violação de dados chegou a R$ 11,43 milhões no Brasil em 2025, o maior entre todos os setores analisados pelo IBM Cost of a Data Breach. O dado de saúde vale entre 10 e 40 vezes mais do que um dado de cartão de crédito no mercado clandestino, segundo estimativas do HIPAA Journal (2024), porque permite fraude de identidade médica, acesso a medicamentos controlados e extorsão de longo prazo.

Setor de saúde: dados sensíveis com regulação crescente

Hospitais, clínicas, laboratórios e operadoras de plano de saúde processam dados pessoais sensíveis por definição. A LGPD classifica dados de saúde como sensíveis no Art. 5º, inciso II, com exigência de base legal mais restrita e controles adicionais.

Os controles mais críticos para saúde são: criptografia de dados em repouso e em trânsito, segmentação de rede entre sistemas clínicos e administrativos, controle rigoroso de acesso a prontuários (quem acessou, quando, por qual motivo) e política de dispositivos médicos conectados. Equipamentos médicos modernos se conectam à rede corporativa. Muitos rodam sistemas operacionais desatualizados que não podem ser atualizados sem desqualificação do equipamento. Esse é o vetor mais subestimado no setor.

A ANPD publicou nota técnica específica orientando que dados de saúde exigem atenção prioritária no RIPD (Relatório de Impacto à Proteção de Dados Pessoais). Operadoras de plano de saúde têm regulação adicional da ANS que inclui requisitos de segurança da informação.

Setor financeiro: regulação mais dura do Brasil

A Resolução BCB nº 4.658/2018 é a regulação de cibersegurança mais exigente em vigor no Brasil. Ela obriga instituições financeiras a ter: política de segurança cibernética aprovada pelo conselho de administração, plano de continuidade de negócios testado pelo menos uma vez por ano, relatório anual ao Banco Central e controles específicos para prestadores de serviços críticos.

A Resolução BCB nº 4.893/2021 atualizou e consolidou esses requisitos, incluindo exigências sobre gestão de incidentes e rastreabilidade de operações. Instituições sob supervisão do Banco Central que não demonstram conformidade com essas resoluções estão sujeitas a autuação e intervenção regulatória, não apenas multa administrativa da ANPD.

Os controles prioritários para o setor financeiro: prevenção de fraude em transações (não apenas na autenticação), monitoramento contínuo de transações anômalas, gestão de terceiros com acesso a sistemas de pagamento e capacidade de resposta a incidentes com comunicação ao BACEN dentro de prazos regulatórios.

Setor de varejo: superfície de ataque ampla e PCI-DSS

Varejo concentra dois alvos: dados de pagamento de clientes e dados de acesso à conta de fidelidade. O PCI-DSS (Payment Card Industry Data Security Standard) define requisitos obrigatórios para qualquer empresa que processa, armazena ou transmite dados de cartão de crédito. Não é lei brasileira, mas é exigência das bandeiras de cartão. Quem não cumpre pode perder o credenciamento.

O varejo digital tem superfície de ataque ampla: site de e-commerce, aplicativo mobile, integrações com marketplaces, APIs de parceiros logísticos. Cada integração é uma potencial porta de entrada. Atacantes que sabem explorar APIs mal configuradas conseguem acesso a bases de dados de clientes sem precisar de credenciais válidas.

Padrão observado no varejo brasileiro: As maiores violações no segmento não vêm de ataques frontais ao sistema principal. Vêm de integrações de terceiros que o time de TI não documentou ou não monitorou. O parceiro logístico com acesso à base de endereços. A ferramenta de análise de marketing com permissão de leitura no banco de dados de clientes. O vetor de ataque que mais cresce é o ecossistema, não o núcleo.

Fonte: IBM Cost of a Data Breach Report 2025. Valores em R$ milhões.

Fonte: IBM Cost of a Data Breach Report 2025. Valores em R$ milhões.

As 10 perguntas que o decisor faz ao time técnico

Esta é a seção central do artigo. O gestor que aprova orçamento sem fazer essas perguntas está aprovando às cegas. Quem não consegue responder a nenhuma delas está apresentando proposta sem sustentação.

As respostas não precisam ser perfeitas. Precisam ser honestas. Um time que diz “ainda não temos isso, mas é por isso que pedimos esse investimento” é mais confiável do que um time que promete maturidade que não existe.

1. Qual é o nosso ativo mais crítico e o que acontece se ele ficar indisponível por 24 horas?

Esta pergunta força a priorização. Se o time não consegue responder com clareza, o programa de segurança não está orientado a negócio. Está orientado a tecnologia. A resposta deve incluir o nome do sistema, o impacto financeiro estimado de uma interrupção e o tempo atual de recuperação. Esses três números definem onde o orçamento deve ir primeiro.

2. Qual foi o último incidente de segurança que sofremos, mesmo que pequeno?

Empresas que nunca tiveram um incidente relatado têm um de dois perfis: ou têm controles de detecção excelentes, ou não detectam nada. A segunda opção é muito mais comum. Se a resposta for “nenhum nos últimos dois anos”, a pergunta de acompanhamento é: “como sabemos que não teve?”. A ausência de registro não é ausência de incidente.

3. Temos MFA (autenticação multifator) em todos os sistemas com acesso remoto?

Autenticação multifator é o controle com maior relação custo-benefício em segurança. Microsoft, Google e NIST convergem na mesma estimativa: MFA bloqueia mais de 99% dos ataques baseados em credencial. Se a resposta for “não em todos”, a pergunta seguinte é: “por quê?”. A exceção precisa de justificativa técnica, não de conveniência.

4. Quando foi o último teste de restauração do backup?

Backup nunca testado não é backup. É esperança. O teste de restauração simula o cenário real: restaurar o sistema crítico a partir do backup, do zero, sem acesso ao sistema original. O resultado deve incluir o tempo que levou. Se o teste nunca aconteceu ou aconteceu há mais de um ano, o backup existe apenas no papel.

5. Quem tem acesso privilegiado (admin) aos sistemas críticos e como esse acesso é controlado?

Contas administrativas são o alvo preferencial de atacantes. Uma conta de admin comprometida pode derrubar toda a infraestrutura. A resposta deve incluir: lista nominal das contas com acesso privilegiado, se todas têm MFA, se os acessos são revisados periodicamente e se há log de tudo que essas contas fazem. “O time de TI tem acesso” não é uma resposta aceitável.

6. Se um colaborador receber um e-mail de phishing e clicar no link hoje, o que acontece?

Esta pergunta avalia a profundidade da defesa. A resposta ideal não é “ele será treinado para não clicar”. É “o link seria bloqueado pelo filtro de URL, mesmo que passasse, o endpoint tem proteção que detecta comportamento malicioso, e mesmo que comprometesse a máquina, a segmentação de rede limitaria o acesso do atacante”. Defesa em profundidade significa que nenhuma camada única é o único ponto de falha.

7. Em quanto tempo detectamos e contemos uma invasão?

O IBM Cost of a Data Breach 2025 mostra que o tempo médio global para identificar e conter uma violação é 258 dias. No Brasil, o dado específico varia, mas violações não detectadas por mais de 200 dias têm custo médio 38% maior do que as detectadas em menos de 100 dias. A resposta do time deve incluir uma estimativa baseada em dados reais, não em teoria.

8. Que terceiros têm acesso aos nossos sistemas ou dados, e como auditamos esse acesso?

A cadeia de fornecedores é o vetor de ataque que mais cresceu nos últimos três anos. O Verizon DBIR 2024 aponta que 15% das violações envolveram terceiros na cadeia de suprimento. A pergunta força o mapeamento: quantos fornecedores têm acesso a quais sistemas, com que nível de permissão, e quando esse acesso foi revisado pela última vez.

9. Temos um plano de resposta a incidentes testado? Quem faz o quê quando um ataque acontece?

Plano de resposta a incidentes não testado não existe operacionalmente. Existe como documento. A diferença entre os dois se manifesta às 2h da manhã de um domingo, quando o ransomware está cifrando os servidores. A resposta deve incluir: nome das pessoas responsáveis por cada ação, canais de comunicação de emergência, quando e como a ANPD é notificada, e quando e como clientes e parceiros são comunicados.

10. O que você compraria com o dobro do orçamento e o que cortaria se o orçamento caísse pela metade?

Esta é a pergunta que revela prioridade real. Se o time consegue responder com clareza, ele sabe o que é essencial e o que é desejável. Se a resposta for “com o dobro compraria tudo na lista e com a metade cortaria tudo”, o planejamento não está baseado em análise de risco. Está baseado em lista de compras. A resposta revela a maturidade do programa.

Equipe de gestores analisa dados em laptops durante reunião estratégica em sala de conferência corporativa moderna.
O decisor não-técnico que faz as perguntas certas muda o nível da conversa de orçamento. Foto: Thirdman / Pexels

SOC interno, terceirizado ou híbrido?

SOC, Security Operations Center, é o centro de operações de segurança responsável por monitorar, detectar e responder a incidentes em tempo real. A decisão entre construir internamente, terceirizar ou adotar um modelo híbrido tem impacto direto no orçamento e no nível real de proteção. Não existe resposta certa para todos os setores e tamanhos.

Segundo o IBM Cost of a Data Breach 2025, empresas que utilizam SOC terceirizado (MSSP – Managed Security Service Provider) reduzem o tempo médio de contenção de incidentes em 19 dias em relação a organizações que dependem exclusivamente de equipes internas sem ferramentas de detecção contínua. Essa redução de prazo corresponde a uma diminuição de custo médio de aproximadamente R$ 980 mil por violação.

SOC interno: quando faz sentido

SOC interno faz sentido para empresas com dados extremamente sensíveis, regulações que exigem controle total sobre o fluxo de informação (como algumas operações de defesa e infraestrutura crítica), e orçamento para manter uma equipe de pelo menos cinco analistas em turnos 24/7. O custo de um SOC interno funcional começa em R$ 3 milhões por ano quando se considera salários, ferramentas, treinamento e rotatividade de analistas.

A realidade é que a maioria das empresas brasileiras não tem escala para SOC interno economicamente viável. A escassez de profissionais de segurança é grave: o Brasil tem déficit estimado de 750 mil profissionais de cibersegurança, segundo levantamento do ISC2 (2023). Competir por esses profissionais com salários de mercado enquanto mantém uma operação 24/7 é proibitivo para qualquer empresa abaixo de médio porte.

SOC terceirizado (MSSP): o modelo mais comum no Brasil

O modelo de MSSP, Managed Security Service Provider, terceiriza o monitoramento e a resposta a incidentes para um provedor especializado. O provedor opera ferramentas como SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) e threat intelligence, aplicando-as a múltiplos clientes com economia de escala.

A vantagem é o acesso imediato a capacidade que levaria anos para construir internamente. A desvantagem é que a empresa precisa confiar no provedor com informações sensíveis, e os contratos de MSSP variam muito em qualidade de SLA. Antes de contratar qualquer MSSP, as perguntas obrigatórias são: qual é o tempo médio de detecção e resposta garantido em contrato, quais são as penalidades por descumprimento de SLA, e como são tratados os dados da empresa no ambiente do provedor (especialmente para conformidade com a LGPD).

Modelo híbrido: a escolha mais comum para empresas médias

O modelo híbrido mantém uma equipe interna pequena responsável por estratégia, resposta a incidentes críticos e gestão do relacionamento com fornecedores, e terceiriza o monitoramento operacional para um MSSP. Esse modelo é mais comum entre empresas de médio porte no Brasil porque equilibra controle e custo.

Padrão observado em implementações: A maioria das empresas que experimenta o modelo puramente terceirizado descobre, após 12 a 18 meses, que precisa de pelo menos um profissional interno com poder de decisão para interagir com o MSSP. Sem alguém interno com autoridade para aprovar respostas a incidentes, o MSSP enfrenta gargalos de aprovação que anulam o ganho de velocidade de resposta. O “totalmente terceirizado” funciona melhor como ponto de partida do que como destino final.

Como medir ROI de segurança sem ROI direto

Segurança da informação não gera receita. Não tem um valor de retorno calculável da forma que um investimento em equipamento de produção tem. Isso cria um problema político dentro das organizações: o gestor financeiro pede ROI, o time de segurança não tem como entregar e o orçamento fica perpetuamente em disputa.

Existem três abordagens que ajudam a estruturar o argumento sem inventar números.

ROSI: Return on Security Investment

ROSI (Retorno sobre Investimento em Segurança) quantifica o risco evitado. A fórmula básica é: (Probabilidade do incidente) x (Custo estimado do incidente) x (Efetividade do controle) – (Custo do controle).

Por exemplo: se a probabilidade de um ataque de ransomware bem-sucedido é estimada em 15% ao ano, o custo do incidente seria de R$ 5 milhões e o controle de backup offline reduz o custo de recuperação em 70%, o valor protegido anual é R$ 525 mil. Se o controle custa R$ 180 mil por ano, o ROSI é positivo.

Os números são estimativas. A lógica é real. O exercício força uma conversa sobre probabilidade de risco que substitui a discussão de “precisa ou não precisa”.

Benchmarks setoriais como ancoragem

Os dados do IBM Cost of a Data Breach têm corte por setor. Usar o custo médio do setor como referência para o risco esperado é mais honesto do que construir estimativas do zero. “Nosso setor tem custo médio de R$ 8,92 milhões por violação. Estamos investindo R$ 900 mil por ano em prevenção. Qual é a perda tolerável?” é uma conversa de negócio, não de tecnologia.

Métricas operacionais que o board entende

Três métricas que qualquer gestor pode acompanhar sem formação técnica:

  • MTTD (Mean Time to Detect): tempo médio para identificar um incidente. Deve cair ao longo do tempo com os investimentos feitos.
  • MTTR (Mean Time to Respond): tempo médio para conter e resolver. Afeta diretamente o custo de cada incidente.
  • Cobertura de MFA: percentual de contas críticas com autenticação multifator ativa. Deve estar acima de 95%.

Essas três métricas, reportadas trimestralmente ao board, mostram evolução sem exigir que o conselho entenda firewalls.

Estimativas baseadas na metodologia IBM/Ponemon. Valores anuais em R$ mil. Probabilidades de incidente conforme DBIR 2024.

Gráfico ROSI

Estimativas baseadas na metodologia IBM/Ponemon. Valores anuais em R$ mil. Probabilidades de incidente conforme DBIR 2024.

Cibersegurança para gestores: defesa é decisão, não reação

O gestor que chega ao próximo ciclo orçamentário com as 10 perguntas deste artigo muda o nível da conversa. Não vira especialista técnico. Mas para de ser refém do jargão e começa a exercer o papel que é o seu: responsabilidade pela decisão de risco.

Segurança da informação nunca vai ser risco zero. O objetivo é reduzir a probabilidade, limitar o impacto e recuperar rápido quando o incidente acontece. Empresas que investem nessa ordem, do básico ao avançado, das métricas ao monitoramento contínuo, chegam a um incidente com custo controlável. Empresas que esperam que o problema nunca aconteça chegam a ele sem estrutura para sobreviver.

As 10 perguntas são o ponto de partida. O time técnico que não consegue responder a elas precisa de mais do que orçamento. Precisa de planejamento.

Como LGPD e cibersegurança se conectam no operacional

Perguntas frequentes sobre cibersegurança para gestores

Quanto uma empresa brasileira deve investir em cibersegurança?

Não existe percentual universal, mas o Gartner recomenda entre 5% e 15% do orçamento de TI para segurança, dependendo do setor e do perfil de risco. Para setores regulados como saúde e financeiro, o percentual tende ao limite superior. O ponto de partida mais honesto é o custo médio de violação do setor (R$ 7,19 milhões na média brasileira, IBM 2025) comparado ao custo do controle preventivo.

A minha empresa é pequena demais para ser alvo de ataque?

Não. 43% dos ataques cibernéticos têm como alvo pequenas e médias empresas, segundo o Verizon DBIR 2024. PMEs são frequentemente alvos mais atrativos do que grandes empresas porque têm dados valiosos e controles mais fracos. Ransomware como serviço eliminou a barreira técnica para atacar empresas menores. O tamanho não protege. Os controles é que protegem.

ISO 27001 é obrigatória no Brasil?

Não para a maioria das empresas. A certificação ISO 27001 não é exigência legal no Brasil, mas está se tornando requisito em contratos B2B enterprise e em licitações com órgãos públicos. Ela demonstra que a empresa tem um sistema de gestão de segurança da informação estruturado, auditável e contínuo. Empresas que fornecem para o setor financeiro ou para grandes corporações devem esperar essa exigência como cláusula contratual nos próximos dois a três anos.

Qual a diferença entre pentest e vulnerability assessment?

Vulnerability assessment (avaliação de vulnerabilidades) usa ferramentas automatizadas para identificar falhas conhecidas nos sistemas. É mais rápido, mais barato e cobre maior superfície. Pentest (teste de penetração) vai além: simula um atacante real tentando explorar as vulnerabilidades encontradas, incluindo engenharia social e encadeamento de falhas. Empresas que nunca fizeram vulnerability assessment não estão prontas para contratar pentest. A ordem é essa.

O que fazer nas primeiras 24 horas após descobrir uma violação de dados?

Isolar os sistemas afetados sem desligá-los (para preservar evidências forenses). Acionar o plano de resposta a incidentes e a equipe definida previamente. Notificar o DPO (Encarregado de Proteção de Dados) para avaliar a obrigação de comunicação à ANPD dentro de 72 horas, conforme a Resolução CD/ANPD nº 1/2021. Não comunicar externamente antes de ter um entendimento mínimo do escopo da violação. Contratar suporte forense externo se a equipe interna não tiver capacidade. A comunicação pública prematura piora o dano reputacional sem reduzir o dano técnico.

Fontes primárias consultadas:

Os melhores artigos no seu e-mail.

Curadoria semanal. Sem barulho.

Tags:
Compartilhe:
Equipe Mabex

Equipe Mabex

Quando o assunto exige mais de um olhar, o artigo sai assinado pela Equipe Mabex. Somos redatores e profissionais de tecnologia comprometidos com uma ideia simples: quem lê com critério merece ser lido com seriedade.

Você também pode gostar

Damos valor à sua privacidade

Nós e os nossos parceiros armazenamos ou acedemos a informações dos dispositivos, tais como cookies, e processamos dados pessoais, tais como identificadores exclusivos e informações padrão enviadas pelos dispositivos, para as finalidades descritas abaixo. Poderá clicar para consentir o processamento por nossa parte e pela parte dos nossos parceiros para tais finalidades. Em alternativa, poderá clicar para recusar o consentimento, ou aceder a informações mais pormenorizadas e alterar as suas preferências antes de dar consentimento. As suas preferências serão aplicadas apenas a este website.

Cookies estritamente necessários

Estes cookies são necessários para que o website funcione e não podem ser desligados nos nossos sistemas. Normalmente, eles só são configurados em resposta a ações levadas a cabo por si e que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Pode configurar o seu navegador para bloquear ou alertá-lo(a) sobre esses cookies, mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer informação pessoal identificável.

Cookies de desempenho

Estes cookies permitem-nos contar visitas e fontes de tráfego, para que possamos medir e melhorar o desempenho do nosso website. Eles ajudam-nos a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas. Se não permitir estes cookies, não saberemos quando visitou o nosso site.

Cookies de funcionalidade

Estes cookies permitem que o site forneça uma funcionalidade e personalização melhoradas. Podem ser estabelecidos por nós ou por fornecedores externos cujos serviços adicionámos às nossas páginas. Se não permitir estes cookies algumas destas funcionalidades, ou mesmo todas, podem não atuar corretamente.

Cookies de publicidade

Estes cookies podem ser estabelecidos através do nosso site pelos nossos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente informações pessoais, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet. Se não permitir estes cookies, terá menos publicidade direcionada.

Visite as nossas páginas de Políticas de privacidade e Termos e condições.

Utilizamos cookies para oferecer melhor experiência, aperfeiçoar o desempenho, analisar como você interage em nosso site e personalizar conteúdo.