Paulo Condutta, CISO do Ouribank, defende papel estratégico da cibersegurança e cultura de resiliência nas empresas
“Não existe bala de prata. A operação blindada tem pontos de falha.” O alerta foi dado por Paulo Condutta, CISO do Ouribank, durante palestra no IT Forum Na Mata sobre combate a ataques de sequestro de dados (ransomware). Para o especialista, que há 28 anos atua no mercado de segurança digital, o desafio não é evitar completamente os ataques, mas reduzir riscos e preparar respostas eficientes.
Em “Operação blindada: escolhas que vencem o ransomware”, Condutta defendeu uma mudança de paradigma: a segurança cibernética precisa ser tratada como questão estratégica, não apenas técnica. “Segurança cibernética extrapola a questão técnica”, afirmou o executivo, que há oito anos lidera a área de segurança do Ouribank e integra comissões de riscos cibernéticos do Banco Central e grupos de trabalho de segurança do PIX e do Sistema Financeiro Aberto.
O executivo citou estudo do Fórum Econômico Mundial para defender que o diretor de segurança precisa ter independência dentro da empresa e atuação conectada a toda a companhia. “O CISO tem que ter uma influência executiva em toda a companhia, que possibilita ele ser a voz que vai ser ouvida e seguida”, explicou. A visão contrasta com a prática comum de subordinar a segurança à área de tecnologia. “Tecnologia tem o papel principal de entregar e garantir a disponibilidade. A segurança também tem o papel de disponibilizar, mas precisa entender o contexto geral da necessidade de negócio”, diferenciou.
Condutta criticou ainda a prática de vincular o orçamento de segurança ao da área de tecnologia. “Segurança cibernética não protege a tecnologia, protege o negócio. Deveria ser um percentual sobre o negócio e não sobre a área de tecnologia”, argumentou. Quanto à responsabilidade pela mitigação de riscos, foi enfático: “A mitigação de risco é de toda a companhia. Envolve planejamento do CISO, mas tem responsabilidade compartilhada de negócios, tecnologia, pessoas e todos os setores envolvidos”.
Leia também: Scala, Lightera e Nokia usam o ar para atingir limite da luz e reduzir latência em 32%
Dados apresentados durante a palestra revelam a dimensão do problema. Relatório da Sophos aponta que 69% das empresas pesquisadas sofreram algum tipo de ataque nos últimos 12 meses. O custo médio de recuperação alcança 5,3 milhões de dólares, considerando recuperação, resgate e prejuízos. Por setor, a saúde registra custo médio de 410 mil dólares por ataque, enquanto o financeiro chega a 280 mil dólares — valores que refletem ambientes mais preparados devido a regulamentações específicas.
“Os atacantes diminuíram o volume de ataques, mas tiveram maior especificação e atualização no processo, ficando mais perigosos e específicos”, alertou Condutta. O executivo destacou que o tempo entre infecção e criptografia dos dados, que antes levava semanas, hoje pode ocorrer em poucas horas. “Muitos desses ataques não se preocupam mais em fazer backup da informação. Eles simplesmente criptografam. Entendem que ter o dado não é mais tão necessário”, explicou.
O sistema financeiro permanece como principal alvo na América Latina, seguido pelo setor de saúde — especialmente vulnerável devido a sistemas legados em equipamentos médicos caros e sem suporte atualizado. “Se formos ver hoje, todos os nossos sistemas de saúde estão conectados. O impacto numa determinada área ou máquina vai impactar vidas”, alertou. No setor público, a falta de capacitação técnica deixa ambientes governamentais extremamente expostos.
Outro ponto destacado foi a mudança nos métodos de invasão. Conforme relatório da CrowdStrike citado na apresentação, o roubo de credenciais tornou-se o principal vetor, superando a instalação de programas maliciosos. “Hoje temos um volume de roubo de credenciais muito elevado. A credencial é um alvo muito fácil de ser atacado”, afirmou, citando casos de vazamento de senhas e falta de políticas claras de segurança.
O caso recente da fabricante britânica Land Rover ilustra o impacto dos ataques. Um sequestro de dados paralisou a produção por três semanas, causando prejuízo estimado em 4,7 bilhões de dólares e afetando mais de mil veículos por semana. O ataque impactou fornecedores globalmente, inclusive no Brasil. “Um ataque em uma empresa, dependendo do ramo de atuação, pode impactar toda uma cadeia de negócio”, observou Condutta.
Condutta chamou atenção para a profissionalização dos grupos criminosos. “Os grupos criminosos se tornaram empresas, com processos de recursos humanos, metas, marketing, negociadores especializados e advogados”, afirmou. O executivo destacou a correlação crescente entre ataques cibernéticos e crime organizado tradicional, citando operações recentes da Polícia Federal que revelaram ligação entre fraudes no PIX e facções criminosas.
No setor financeiro, a mudança de alvo é emblemática. “No passado, o principal alvo dos crimes físicos eram os gerentes de agência, que tinham a chave do cofre. Eram alvo de sequestros, aliciados para participar do crime. Hoje, esse gerente passou a ser o analista de tecnologia, pela possibilidade do poder de acesso ao dinheiro virtualizado”, comparou. Para Condutta, pessoas em tecnologia com alto poder de acesso tornaram-se alvos dessas atividades criminosas. “É importante colocar que a gente precisa ter processos para garantir a proteção dessa identidade desse colaborador e fortificar os sistemas para garantir que o ataque tanto externo quanto interno seja combatido da mesma forma”, defendeu.
O executivo alertou ainda para os riscos envolvendo prestadores de serviço. “Quando você traz um desenvolvedor externo para atuar dentro do seu ambiente, traz a possibilidade de uma pessoa que, por ventura, possa ser coagida ou participar de um processo criminoso. É importante reforçar que segurança a gente faz dentro de casa, mas também tem a necessidade de levar isso para toda a nossa cadeia”, afirmou, defendendo processos robustos de gestão de riscos de terceiros.
Entre as medidas recomendadas, Condutta elencou práticas essenciais que vão além de soluções tecnológicas. A configuração robusta de sistemas (hardening), desativando serviços desnecessários e fortalecendo configurações, é o primeiro passo. “Harden é quando você pega um sistema, faz uma configuração de segurança para mitigar eventos que, porventura, possam ocorrer por uma fragilidade naquele determinado sistema”, explicou.
A autenticação de múltiplos fatores deve ser implementada não apenas em acessos remotos, mas também em servidores e estações dentro da empresa. “Muitas vezes você acaba vendo companhias falando: ‘Você tem sistema de autenticação múltipla?’ Tenho. ‘Para quê?’ Ah, para fazer o acesso remoto. ‘E quando a pessoa está dentro da companhia?’ Não, eu não tenho. Por que você não tem?”, questionou. Para o especialista, ter autenticação em diferentes sistemas e camadas é fundamental.
Condutta defendeu ainda o uso de análise comportamental em vez de bloqueios generalizados. “Se você tiver um processo claro de reconhecer o comportamento daquele usuário, pode colocar sistema de autenticação de múltiplos fatores quando você tem um desvio daquele comportamento. É uma forma inteligente de casar a segurança cibernética com a experiência do usuário”, avaliou.
A capacitação contínua com colaboradores e testes de phishing também é fundamental. “O fator humano é o elo principal da proteção cibernética. Se você recebe um phishing e o usuário não clica, mesmo que o sistema seja vulnerável, você não vai ser impactado”, ressaltou. Ferramentas de proteção de pontos finais (EDR e XDR) e centros de inteligência que monitoram a internet profunda para identificar movimentações de ataque completam o arsenal de defesa.
Um ponto frequentemente negligenciado, segundo o especialista, é a integração entre apólices de seguro e planos de resposta a incidentes. “O seguro cibernético não é direcionado para pagamento de resgate. É um processo de garantia para sustentar a resposta a incidentes”, esclareceu. Condutta recomendou alinhar a cobertura do seguro ao plano de contingência e, em caso de ataque, seguir rigorosamente o planejado. “Não queira sair do plano. Quando você é influenciado por outras pessoas e não segue o planejamento, pode gerar um problema maior ainda no processo de recuperação”, advertiu.
Entre as recomendações para estruturação da segurança corporativa, o especialista defendeu que o líder de segurança tenha acesso direto e recorrente ao conselho administrativo, sem filtros intermediários. “Dar o risco para uma pessoa técnica é errado. Quem assume o risco é a companhia”, afirmou, criticando a prática de delegar a declaração de riscos exclusivamente à área de tecnologia. Segundo ele, o conselho deve avaliar ganhos e prejuízos para decidir se mitiga riscos previamente ou os aceita com plano de mitigação futura.
Ao encerrar a apresentação, Condutta enfatizou que a questão não é mais se a empresa será atacada, mas quando. “Não existe bala de prata. Você tem uma cultura. Se tiver cultura de resiliência, vai responder de forma mais efetiva e no menor tempo possível”, concluiu. O recado final foi direto: “Tenha calma e siga o plano. Isole os ambientes, preserve e garanta que o backup está inteiro e funcional”.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Pamela Sousa é repórter no IT Forum, graduada em Jornalismo pela Universidade Federal de Santa Maria (UFSM). Com mais de três anos de experiência na produção de conteúdo, especializa-se na cobertura de tecnologia, inteligência artificial e inovação, desenvolvendo reportagens aprofundadas e artigos analíticos sobre o impacto dessas tecnologias nos negócios e na sociedade.
