Por Diego Neuber
Em 21 de abril de 2026, dois incidentes em continentes diferentes expuseram o mesmo problema estrutural. A Vercel, uma das maiores plataformas de hospedagem de aplicações do mundo, confirmou ter sofrido uma invasão originada em um fornecedor: um funcionário havia instalado uma extensão ligada a uma ferramenta de IA comprometida, e o atacante usou essa conexão OAuth para pivotar até a conta Google Workspace corporativa, acessando variáveis de ambiente que não estavam marcadas como sensíveis. No mesmo dia, no Brasil, o Banco Rendimento, especializado em câmbio e crédito, informou ter identificado e contido um incidente que afetou canais de acesso e contas de clientes.
Nenhuma das duas empresas é amadora em segurança. Ambas operam sob exigências rigorosas, investem pesado em controles e, muito provavelmente, estariam aderentes a qualquer framework de referência no momento do ataque. E ainda assim, foram comprometidas.
Segurança que depende de calendário já nasce atrasada.
Essa é a verdade que líderes de tecnologia precisam encarar. Durante muitos anos, frameworks tradicionais de cibersegurança cumpriram um papel importante ao organizar controles, processos e responsabilidades. Ajudaram empresas a estruturar programas de segurança, amadurecer governança e atender exigências regulatórias. O problema é que a maior parte desses modelos foi concebida para um ambiente muito mais previsível do que o atual.
O Data Breach Investigations Report 2025 da Verizon, que analisou mais de 12 mil violações confirmadas, mostrou que o envolvimento de terceiros em incidentes dobrou em apenas um ano, passando de 15% para 30% do total. É uma mudança estrutural, não uma flutuação estatística. O perímetro corporativo, na prática, deixou de existir. Cada integração SaaS, cada token OAuth concedido, cada fornecedor com acesso privilegiado amplia a superfície de risco em tempo real, e nenhuma auditoria trimestral acompanha esse ritmo.
O caso Vercel ilustra isso com precisão cirúrgica: o vetor não foi uma falha de infraestrutura, foi uma autorização OAuth concedida por um funcionário a uma ferramenta de IA de terceiros. Nenhum checklist anual capturaria esse risco no momento em que ele foi criado.
Ainda assim, muitas empresas tratam segurança como exercício calendarizado. Revisam controles em datas específicas, conduzem auditorias anuais, atualizam políticas em ciclos longos e medem maturidade com base em checklists estáticos. Essas práticas atendem requisitos formais, mas raramente refletem a exposição real do ambiente, criando uma falsa sensação de proteção em que a empresa está aderente no papel e vulnerável na operação.
O próprio regulador brasileiro já reconheceu esse descompasso. Após uma série de incidentes no sistema financeiro que resultaram no desvio de R$ 1,5 bilhão em 2025, o Banco Central passou a exigir testes anuais de intrusão independentes. É um avanço importante, mas também um sinal claro: o modelo anterior, baseado em autoavaliações e revisões documentais, já não era suficiente.
Para CIOs, CISOs e conselhos de administração, a pergunta precisa mudar. Não basta perguntar se um controle existe. A pergunta correta é: ele continua eficaz hoje? Em vez de medir aderência, é preciso medir resiliência. Em vez de depender de fotografias ocasionais do ambiente, a liderança precisa de visibilidade permanente.
Esse novo modelo demanda princípios diferentes daqueles que moldaram a primeira geração de programas de segurança.
Leia mais: Cisco acelera resultados com demanda por IA
Governança de integrações como disciplina de primeira ordem. Se 30% dos incidentes vêm de terceiros, o inventário de conexões OAuth, APIs, extensões e fornecedores com acesso privilegiado precisa ter o mesmo status de um inventário de ativos críticos. Hoje, na maioria das empresas, ninguém sabe de cabeça quantas integrações ativas existem, e nem quais permissões elas carregam.
Resiliência como métrica de conselho. Maturidade em segurança não é checklist preenchido. É tempo médio para detectar um desvio, tempo médio para contê-lo, percentual de controles críticos validados no último ciclo, taxa de falha em simulações. Esses indicadores precisam sair da sala do CISO e entrar no relatório que vai para o conselho, ao lado de receita e EBITDA.
Validação operacional contínua, não documental. Políticas bem escritas têm valor limitado se não se traduzem em execução consistente. Simulações frequentes, exercícios de red team e testes de controle em produção verificam se os processos funcionam sob pressão, e não apenas no papel.
Adaptabilidade embutida no desenho do programa. Ciclos burocráticos de revisão anual não dão conta de vetores que nascem e amadurecem em semanas. O uso corporativo de ferramentas de IA generativa, por exemplo, passou de curiosidade a categoria de risco dominante em menos de dois anos. Programas rígidos perdem eficácia exatamente nesses momentos de inflexão.
Essa transformação também muda o papel da liderança. O CIO deixa de ser patrocinador de controles para responder, junto com o CISO, por resiliência corporativa. Segurança passa a dialogar diretamente com crescimento, inovação e competitividade, porque um incidente hoje não afeta apenas a operação de TI, afeta cotação, confiança do cliente e, em setores regulados, a própria licença para operar.
Há ainda um benefício menos discutido: modelos contínuos geram decisões melhores. Quando o executivo tem indicadores atualizados sobre exposição, maturidade operacional e capacidade de resposta, consegue direcionar investimentos com precisão e justificar prioridades com base em evidências, não em intuição ou medo.
Nos próximos anos, a distância entre empresas seguras e empresas apenas aderentes tende a crescer. Quem mantiver estruturas estáticas vai enfrentar cada vez mais dificuldade para responder à velocidade das ameaças. Quem evoluir para uma segurança dinâmica e mensurável vai estar em posição de crescer com confiança.
Frameworks tradicionais continuam úteis como referência. Mas, sozinhos, já não bastam. Os casos da Vercel e do Banco Rendimento lembram que o desafio atual não é desenhar controles. É mantê-los vivos, eficazes e alinhados à realidade do negócio todos os dias, porque os atacantes, esses, não esperam o próximo ciclo de auditoria.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
