Por Denis Furtado*
Existe um paradoxo difícil de ignorar: empresas nunca investiram tanto em cibersegurança — e, ainda assim, continuam sendo hackeadas e violadas. Segundo o relatório Cost of a Data Breach, da IBM Security, o tempo médio para identificar e conter uma violação ainda gira em torno de 277 dias. Em outras palavras, um invasor pode permanecer por meses dentro do ambiente corporativo sem ser detectado.
Isso não acontece, na maioria das vezes, por falta de tecnologia. Acontece por falta de visibilidade. E é justamente aí que começa um dos erros mais críticos no planejamento de cibersegurança: iniciar pela solução, sem antes compreender o próprio cenário.
Na prática, muitas empresas estruturam sua estratégia a partir de ferramentas — firewalls mais robustos, soluções de detecção, novas camadas de proteção. Tudo isso é necessário. Mas, sem uma avaliação técnica consistente do ambiente, essas decisões passam a ser tomadas com base em percepção (achismo), não em evidência.
O problema é que a percepção não protege a infraestrutura. De acordo com o Data Breach Investigations Report, da Verizon, a maioria dos incidentes bem-sucedidos continua explorando vulnerabilidades conhecidas ou falhas básicas de configuração. Não são ataques sofisticados, mas brechas que permanecem abertas por falta de priorização.
E priorizar exige clareza. Dentro das empresas, essa falta de clareza se manifesta de forma silenciosa. Ambientes com ativos que não estão devidamente mapeados, sistemas legados que continuam operando sem revisão, acessos que se acumulam ao longo do tempo sem controle efetivo, integrações entre plataformas que ampliam a superfície de ataque sem a devida governança.
Nada disso é incomum. Ao contrário, é o padrão. O ponto é que sem um assessment estruturado essas fragilidades permanecem invisíveis. E o que não é visto não entra na estratégia.
É assim que surgem operações que investem em proteção, mas continuam expostas nos pontos mais básicos. O assessment, nesse contexto, não é uma etapa técnica inicial. É o que sustenta toda a lógica de decisão em segurança.
É ele que permite entender, com precisão, quais são os ativos críticos, onde estão as vulnerabilidades reais e quais riscos têm potencial de impacto relevante para o negócio. É a partir desse diagnóstico que o investimento deixa de ser genérico e passa a ser direcionado.
Sem isso, o que se constrói é uma arquitetura que pode até ser sofisticada, mas não necessariamente eficiente.
E eficiência, em cibersegurança, não está no volume de ferramentas implementadas. Está na capacidade de proteger o que realmente importa, com base em contexto.
À medida que os ambientes se tornam mais distribuídos e heterogêneos, combinando cloud, aplicações SaaS, infraestrutura local e múltiplos pontos de acesso, essa necessidade de contexto se torna ainda mais crítica. A superfície de ataque cresce, as interdependências aumentam e os pontos cegos se multiplicam.
Tentar resolver esse cenário apenas com mais tecnologia é, na melhor das hipóteses, insuficiente.
O que começa a diferenciar operações mais maduras é uma mudança de abordagem: menos foco em reação e mais foco em compreensão. Menos decisões baseadas em tendência e mais decisões baseadas em evidência.
E tudo isso começa com uma pergunta simples e ao mesmo tempo incômoda: quanto você realmente conhece o ambiente que está tentando proteger? Porque no fim o maior risco não está no ataque que ainda não aconteceu. Está no espaço que você ainda não conseguiu enxergar.
*Denis Furtado é engenheiro de sistemas e diretor da Smart Solutions, distribuidora brasileira de solução antifraude e de cibersegurança.
