Falta tratamento prioritário à segurança digital e Governança de Dados

O avanço dos ataques cibernéticos contra grandes instituições brasileiras reacende o alerta sobre a fragilidade da segurança digital no País. Em julho, o Conselho Nacional de Justiça (CNJ) sofreu um vazamento que expôs mais de 11 milhões de chaves Pix, um dos maiores incidentes envolvendo dados financeiros já registrados no Brasil. Poucos dias antes, o Banco Central havia confirmado a violação de Dados pessoais em duas instituições financeiras autorizadas. Esses episódios se somam a uma série de incidentes que vêm atingindo empresas públicas e privadas, deixando evidente que o país ainda carece de uma estrutura sólida de proteção e resposta a ataques.

Embora o Brasil seja o país da América Latina que mais investe em cibersegurança, com crescimento anual entre 10% e 15%, a vulnerabilidade permanece elevada. O aumento expressivo de vazamentos e ataques de ransomware revela que os investimentos, muitas vezes, não são acompanhados por maturidade operacional.

Para Alexandre Paoleschi, fundador da Fenix DFA e CEO da Kymo Investments, os casos recentes revelam um problema estrutural. “Há um movimento cada vez mais evidente de empresas que investem em ferramentas de segurança, mas não desenvolvem a capacidade de usá-las com inteligência e estratégia. O problema não é a tecnologia em si, mas a falta de uma cultura de gestão de riscos. Segurança da informação ainda é vista como uma função técnica da TI, quando na verdade deveria ser tratada como um pilar essencial da continuidade dos negócios”, afirma.

Para ele, a maioria das organizações ainda adota uma postura reativa diante das ameaças: “A cultura predominante é de resposta ao incidente, não de antecipação. Quando o ataque ocorre, muitas empresas descobrem que não estão preparadas para se recuperar — não testaram seus backups, não monitoram se a estratégia de proteção está sendo seguida e não têm visibilidade sobre o que realmente está protegido. Sem governança ativa, a prevenção se torna apenas uma intenção, e a recuperação, uma aposta.”

Backup ignorado, risco ampliado
Apesar da crescente sofisticação dos ataques, a política de backup continua sendo negligenciada em muitas organizações brasileiras, alerta Alexandre Paoleschi. “Quando um ataque ocorre, é a existência e a confiabilidade do backup que define se a empresa será capaz de retomar suas operações. Mesmo assim, sua efetividade ainda é tratada como prioridade secundária”, afirma.

O executivo destaca que o backup deve ser encarado como a última e mais crítica linha de defesa na proteção de dados. “Não se trata apenas de uma etapa técnica, mas de um componente estratégico da cibersegurança e da continuidade do negócio.” Segundo ele, é comum encontrar empresas que investem fortemente em soluções de proteção de perímetro, mas mantêm rotinas de backup frágeis, com políticas desatualizadas, baixa visibilidade operacional e ausência de testes regulares de recuperação. “Quando o ataque acontece, essas organizações se veem isoladas, paralisadas e sem um plano funcional de retomada”.

Especializada em resiliência digital e governança de backup, a Fenix DFA atua justamente para ampliar a eficácia das operações e garantir que, mesmo diante de falhas na prevenção, a empresa tenha capacidade de resposta. Paoleschi compara a situação a uma residência, “Você pode trancar todas as portas e janelas da sua casa, mas se não tiver um plano para reconstruí-la depois de um incêndio, sua estratégia de segurança era só uma ilusão.”

Falta responsabilização
Outro ponto crítico destacado por Alexandre Paoleschi é a ausência de regulamentações mais específicas e rigorosas que responsabilizem tecnicamente as empresas e seus gestores por falhas de segurança. “Na prática, a cobrança é limitada. Quando ocorrem vazamentos de Dados, as comunicações costumam ser genéricas, sem transparência ou responsabilização efetiva. E, infelizmente, quem sofre as consequências são os usuários, que não têm qualquer controle sobre a exposição dos seus dados”, afirma.

Embora a Lei Geral de Proteção de Dados (LGPD) represente um avanço fundamental, o executivo ressalta que ela ainda carece de normas técnicas mais detalhadas e aplicáveis aos setores mais críticos da economia, como saúde, finanças e serviços essenciais à população, incluindo telecomunicações, transporte, energia, água e gás. “É nesses segmentos que o impacto de uma falha pode ser sistêmico. Precisamos de exigências claras sobre estrutura mínima de segurança, processos de auditoria recorrentes e planos de recuperação validados, sob pena de sanções proporcionais à gravidade dos riscos envolvidos.”

Em comparação, países como os Estados Unidos e membros da União Europeia já contam com legislações mais maduras, que combinam diretrizes técnicas específicas com responsabilização direta da alta liderança. “Nesses ambientes regulatórios, não basta alegar boas intenções — há consequências reais para quem falha na proteção de dados. Isso força as empresas a adotarem uma postura mais estratégica e proativa em relação à segurança”, finaliza.

Cultura corporativa precisa mudar
Para o CEO da Kymo Investments, o problema não é apenas normativo, mas também cultural. “A lógica de remediação ainda predomina. As empresas reagem depois do ataque, o backup é deixado em segundo plano e o setor de TI trabalha isolado. Esse modelo apenas perpetua a vulnerabilidade”.

Segundo ele, essa transformação precisa partir da liderança. “Segurança Digital é responsabilidade do C-level. Precisa estar na pauta do conselho, refletida no planejamento estratégico e na alocação de recursos. Sem isso, nenhuma tecnologia, por mais avançada que seja, será suficiente”.

Paoleschi conclui com um alerta: “Enquanto a Segurança Digital for tratada como custo ou como uma resposta pontual a crises, os ataques continuarão sendo eficazes. O Brasil precisa abandonar o improviso e investir em resiliência sistemática, com visão de longo prazo e compromisso real da alta liderança”.