Frameworks estáticos enfrentam desafios diante das ameaças cibernéticas contemporâneas

Incidentes recentes revelam vulnerabilidades críticas em segurança cibernética.

Em 21 de abril de 2026, dois incidentes em diferentes partes do mundo destacaram um problema estrutural comum na segurança cibernética. A Vercel, uma das principais plataformas de hospedagem de aplicações, confirmou uma invasão que teve origem em um fornecedor. Um funcionário instalou uma extensão relacionada a uma ferramenta de inteligência artificial comprometida, permitindo que o atacante acessasse a conta Google Workspace corporativa e variáveis de ambiente não sensíveis. No mesmo dia, o Banco Rendimento, especializado em câmbio e crédito no Brasil, anunciou que havia identificado e contido um incidente que afetou os canais de acesso e as contas de seus clientes.

Ambas as empresas são reconhecidas por seus investimentos em segurança e por operarem sob rigorosos padrões de conformidade. No entanto, mesmo com essas medidas, elas foram vulneráveis a ataques. A realidade é que a segurança que se baseia em um calendário já está desatualizada.

Essa é uma verdade que os líderes de tecnologia precisam enfrentar. Durante anos, frameworks tradicionais de cibersegurança foram fundamentais para organizar controles, processos e responsabilidades. Eles ajudaram as empresas a estabelecer programas de segurança e a atender exigências regulatórias. Contudo, a maioria desses modelos foi criada para um ambiente muito mais previsível do que o atual.

O Data Breach Investigations Report 2025, que analisou mais de 12 mil violações confirmadas, revelou que o envolvimento de terceiros em incidentes dobrou em um único ano, passando de 15% para 30% do total. Essa mudança representa uma transformação estrutural, não uma simples flutuação estatística. O perímetro corporativo praticamente desapareceu, e cada integração SaaS, cada token OAuth e cada fornecedor com acesso privilegiado aumentam a superfície de risco em tempo real, muito além do que auditorias trimestrais podem acompanhar.

O caso da Vercel exemplifica essa questão: o vetor de ataque não foi uma falha de infraestrutura, mas sim uma autorização OAuth concedida a uma ferramenta de IA de terceiros. Nenhum checklist anual poderia ter identificado esse risco no momento em que foi criado.

Apesar disso, muitas empresas ainda tratam a segurança como um exercício de calendário. Elas revisam controles em datas específicas, realizam auditorias anuais e atualizam políticas em ciclos longos, o que raramente reflete a exposição real do ambiente. Isso cria uma falsa sensação de segurança, onde as empresas parecem estar em conformidade, mas estão vulneráveis na prática.

O regulador brasileiro já reconheceu essa discrepância. Após uma série de incidentes no sistema financeiro que resultaram no desvio de R$ 1,5 bilhão em 2025, o Banco Central passou a exigir testes anuais de intrusão independentes. Embora isso represente um avanço, também sinaliza que o modelo anterior, baseado em autoavaliações, não era mais suficiente.

Para CIOs, CISOs e conselhos de administração, a questão precisa mudar. Não é suficiente perguntar se um controle existe; a pergunta correta é: ele continua eficaz hoje? Em vez de medir a conformidade, é necessário avaliar a resiliência. A liderança deve ter visibilidade permanente, em vez de depender de análises ocasionais do ambiente.

Esse novo modelo exige princípios diferentes dos que moldaram a primeira geração de programas de segurança. A governança de integrações deve ser tratada como uma disciplina de primeira ordem. Se 30% dos incidentes provêm de terceiros, o inventário de conexões OAuth, APIs e fornecedores com acesso privilegiado deve ter a mesma importância que um inventário de ativos críticos. Atualmente, muitas empresas não têm clareza sobre quantas integrações ativas possuem e quais permissões elas têm.

A resiliência deve ser uma métrica chave. A maturidade em segurança não se resume a checklists preenchidos, mas sim ao tempo médio para detectar e conter desvios, à porcentagem de controles críticos validados e à taxa de falhas em simulações. Esses indicadores devem ser levados ao conselho, ao lado de métricas financeiras como receita e EBITDA.

A validação operacional precisa ser contínua, não apenas documental. Políticas bem elaboradas têm pouco valor se não se traduzem em ações consistentes. Simulações frequentes e testes de controle em produção são essenciais para verificar a eficácia dos processos sob pressão.

A adaptabilidade deve ser incorporada ao desenho do programa de segurança. Ciclos burocráticos de revisão anual não são suficientes para lidar com vetores que surgem e se desenvolvem rapidamente. O uso de ferramentas de IA