Neste blog, usamos exemplos práticos para mostrar como as empresas podem facilmente sofrer milhões em perdas devido a medidas de segurança inadequadas. Também explicamos por que até mesmo uma única vulnerabilidade negligenciada pode ter consequências graves. Leia este blog para saber por que as empresas precisam atualizar sua segurança. Para fazer isso, no entanto, elas precisam primeiro descobrir qual é a situação atual da segurança.
Em 2024, a Orion, um das principais fabricantes mundiais de negro de carbono, foi vítima de um dispendioso ciberataque que causou danos de cerca de 60 milhões de dólares americanos. A empresa caiu na armadilha quando os hackers enganaram um funcionário para que ele fizesse várias transferências do valor mencionado acima.1
Esse é um exemplo de um ataque típico de comprometimento de e-mail comercial (BEC), em que os criminosos cibernéticos usam o e-mail para se passar por uma pessoa autorizada dentro da empresa. O objetivo é tentar os funcionários a cometer erros graves, como divulgar informações confidenciais, revelar dados ou movimentar fundos.
Os ataques de BEC dependem de táticas de engenharia social e são usados com mais frequência do que muitos imaginam. Somente nos EUA, os golpes de BEC causaram perdas estimadas em US$ 2,9 bilhões em 2023.2 O Federal Bureau of Investigation (FBI) reconheceu a importância e o aumento da prevalência do problema e publicou estatísticas e recomendações de prevenção para incentivar as pessoas afetadas a denunciar esses incidentes. É importante descobrir por que esses ataques são bem-sucedidos.
Em geral, a causa dos incidentes de segurança está na segurança cibernética da empresa. Sistemas configurados incorretamente, ferramentas de segurança desatualizadas, controles de acesso inadequados e vulnerabilidades ocultas podem permanecer sem serem detectados por meses ou até anos até serem explorados por invasores.
As empresas geralmente só iniciam contramedidas depois que um incidente já ocorreu, ou seja, tarde demais. No caso da Orion, a empresa iniciou uma investigação interna para determinar o impacto do incidente e identificar os pontos fracos. A empresa trabalhou em estreita colaboração com as autoridades policiais e de supervisão.
No entanto, essa é a abordagem típica e reativa, mas nem todas as empresas podem arcar com processos de recuperação caros. Para alguns, seu sustento está em jogo, outros sofrem interrupções nos negócios com consequências devastadoras.
Em 2024, o provedor australiano de prescrição eletrônica MediSecure foi vítima de um ataque de ransomware. Os invasores capturaram cerca de 6,5 TB de dados de aproximadamente 12,9 milhões de australianos. Eles supostamente os ofereceram para venda na Darknet. O incidente forçou a empresa a deixar suas operações offline por um longo período, afetando as operações comerciais por mais de 30 dias.3
Logo após o incidente, a empresa passou por sérias dificuldades financeiras. Ela teve que solicitar ajuda financeira e recorrer a agências externas para, de alguma forma, continuar suas operações comerciais. A MediSecure também perdeu seu contrato governamental mais importante como resultado do ataque.
A única maneira eficaz de evitar ou, pelo menos, limitar, danos maiores é fortalecer as medidas de segurança interna. Essa deve ser uma das principais prioridades de todo diretor de segurança da informação (CISO) e um indicador-chave de desempenho, principalmente porque 98% dos CISOs esperam que os ciberataques aumentem nos próximos três anos.4
À medida que o cenário de ameaças se torna mais crítico, as empresas devem fazer da otimização da postura de segurança uma prioridade máxima. Um bom ponto de partida é avaliar a arquitetura existente e identificar os pontos fracos. É importante ter em mente que o aprimoramento da segurança não se trata primordialmente de investir em novas ferramentas, mas sim de preencher as lacunas de segurança existentes.
Se você ainda não o fez, essa é a primeira etapa prática para criar uma base sólida em termos de segurança. Isso inclui uma avaliação abrangente da segurança e uma avaliação baseada em riscos de todo o ambiente tecnológico. Os pontos de verificação mais importantes são redes, endpoints, dispositivos inteligentes, aplicativos, dados, usuários, processos e a infraestrutura de banco de dados. O objetivo é entender como funciona o acesso aos sistemas e como eles são protegidos, monitorados e atualizados.
Imagine uma empresa avaliando sua segurança de endpoint. Uma avaliação típica forneceria as seguintes informações, entre outras: o número total de endpoints na rede, quantos deles estão protegidos, se os laptops continuam executando softwares de segurança desatualizados e se há dispositivos nos quais os programas antivírus ou firewalls estão desativados.
Esse tipo de avaliação fornece percepções que, de outra forma, permaneceriam ocultas. Laptops isolados que não possuem atualizações de segurança podem parecer insignificantes à primeira vista, mas podem ser a causa de uma violação de segurança. De fato, 68% das empresas já sofreram um ataque cibernético devido a dispositivos finais não seguros.5
Isso mostra que até mesmo uma única vulnerabilidade pode levar a uma violação de segurança – é apenas uma questão de tempo. Um exemplo bem conhecido é o infame hack da Equifax. A empresa americana de informações de crédito teve de pagar indenizações que totalizaram mais de US$ 1,4 bilhão após a divulgação não intencional de dados pessoais. 147 milhões de americanos foram afetados pelo vazamento de dados. Isso ocorreu devido a uma única vulnerabilidade em um aplicativo da Web que os hackers usaram como gateway. O caso mostra que nenhum risco, por menor que seja, deve ser ignorado.6
Incidentes como esse ocorrem com frequência. Outro relatório revelou que 70% dos aplicativos da Web têm vulnerabilidades graves de segurança.7 Portanto, uma avaliação de risco abrangente geralmente começa com um inventário da arquitetura existente, incluindo a nuvem e os sistemas locais. Em seguida, são identificadas as lacunas nas diretrizes, configurações e mecanismos de controle.
Estruturas como a NIST Cyber Security Framework, ISO/IEC 27001, CIS Critical Security Controls e SOC 2 podem ser usadas como referência, dependendo do setor. Por exemplo, as organizações que lidam com dados financeiros e sistemas de pagamento podem ser obrigadas a cumprir a estrutura do PCI DSS. Essas estruturas incluem processos estruturados e repetíveis para avaliar e fortalecer a postura de segurança de uma empresa.
As empresas também podem usá-las para identificar lacunas de segurança, introduzir práticas recomendadas, garantir a conformidade e minimizar os riscos. Práticas complementares, como varreduras de vulnerabilidade, verificações de configuração, verificações de identidade, controles de acesso e testes de penetração, também são úteis para descobrir vulnerabilidades. De acordo com um relatório, mais de cinco vulnerabilidades foram descobertas a cada minuto nos últimos doze meses.8
As varreduras de vulnerabilidade e os testes de penetração diferem consideravelmente em sua abordagem e objetivos. O primeiro é usado para identificar vulnerabilidades, software desatualizado e configurações incorretas. O último simula ataques realistas que exploram essas vulnerabilidades para avaliar posteriormente o possível impacto nos negócios. Ambos são necessários, mas os testes de penetração, em particular, geralmente descobrem problemas que as varreduras convencionais não detectam.
Também é importante avaliar a maturidade e a eficácia dos controles existentes. Os firewalls estão configurados corretamente? A autenticação multifatorial está configurada para contas de alto risco? Os registros são gravados e verificados de forma centralizada? Muitas empresas acreditam que estão bem protegidas simplesmente porque usam ferramentas de segurança. No entanto, se essas ferramentas não forem usadas de forma eficaz, se forem configuradas incorretamente ou não forem monitoradas ativamente, seu efeito protetor será mínimo.
Além das ferramentas técnicas, os processos da empresa também precisam ser examinados. As medidas de defesa devem ser documentadas e testadas regularmente. Os backups de dados e os mecanismos de recuperação devem funcionar de forma confiável e ser constantemente verificados. As práticas de remendo devem ser executadas dentro do prazo e sem falhas.
Por último, mas não menos importante, as empresas devem criar um registro de riscos no qual as vulnerabilidades e seu possível impacto nos negócios sejam listados. Isso permite que as medidas corretivas sejam priorizadas com base nos riscos reais e não em suposições. Essa avaliação abrangente forma a base para um plano personalizado e implementável que pode ser usado para fortalecer a resiliência de uma empresa.
Uma vez que o status atual tenha sido registrado, as empresas devem se concentrar em eliminar os pontos fracos e fortalecer suas defesas – passo a passo e com prioridades sensatas. O principal objetivo deve ser a atenuação dos riscos, começando pelas vulnerabilidades e pelos ativos mais críticos cujo comprometimento poderia levar a sérias interrupções.
As medidas iniciais incluem a correção de configurações incorretas, a aplicação de patches em vulnerabilidades conhecidas e o reforço dos controles de identidade, principalmente em relação ao acesso privilegiado. Essas etapas formam a base de um conceito de segurança robusto e resiliente.
O gerenciamento de patches pode parecer uma solução simples, mas é altamente eficaz. Mais da metade de todas as violações de dados em todo o mundo pode ser evitada por meio de atualizações e patches oportunos. Cerca de 84% das organizações têm vulnerabilidades de alto risco, e 50% delas poderiam ser facilmente corrigidas com uma atualização de software.9
Se os sistemas e aplicativos mais antigos não puderem ser atualizados, eles devem ser reforçados ou isolados, desativando recursos e serviços desnecessários para reduzir sua vulnerabilidade. Todos os recursos conectados à Internet exigem controles de acesso rigorosos e monitoramento contínuo.
A etapa seguinte é introduzir controles de segurança robustos em todas as áreas críticas. Isso inclui detecção e resposta de endpoints (EDR), criptografia de dados confidenciais e a introdução da autenticação multifatorial (MFA) em todos os sistemas, especialmente quando o acesso é remoto.
A arquitetura da rede também precisa ser avaliada e, se necessário, reestruturada. A segmentação da rede e os princípios de confiança zero devem ser levados em conta para restringir a liberdade de movimento lateral do invasor no caso de uma violação de segurança. Foi demonstrado que as empresas podem reduzir o impacto financeiro dos incidentes em cerca de US$ 1 milhão com o conceito de segurança Zero Trust.10
Em ambientes de nuvem, as configurações incorretas continuam sendo um dos riscos de segurança mais importantes. O uso de ferramentas de Cloud Security Posture Management (CSPM) e o alinhamento da configuração com referências de segurança são essenciais para minimizar esse risco.
As empresas também devem melhorar a transparência do sistema e sua capacidade de resposta. O gerenciamento centralizado de registros ou uma solução SIEM (Security Information and Event Management) permite o monitoramento em tempo real, o que também permite que as ameaças sejam detectadas mais rapidamente. Os alarmes automatizados e as medidas corretivas predefinidas garantem uma resposta padronizada no caso de uma emergência. A automação e a inteligência artificial (IA) desempenham um papel importante quando se trata de aprimorar a abordagem de segurança. Elas evitam violações e minimizam seu impacto. Essas tecnologias poupam às empresas custos de acompanhamento de cerca de 2,2 milhões de euros.11
A recuperação pós-incidente também é importante. As soluções de backup exigem testes regulares. E, como precaução contra ataques de ransomware, devem ser implementadas técnicas modernas de arquivamento, como backups imutáveis ou ambientes de recuperação isolados. Qualquer melhoria deve ser adaptada aos resultados originais do risco. Dessa forma, você pode criar um processo fechado e garantir que o conceito seja totalmente desenvolvido.
Embora a tecnologia e as ferramentas sejam importantes, uma abordagem sólida de segurança exige primeiro que a conscientização sobre a segurança esteja ancorada na cultura corporativa. 50% de todos os ciberataques são baseados em phishing e engenharia social. Diversos relatórios concluem que os fatores humanos são a principal causa de 75% a 95% dos incidentes cibernéticos.12
Os funcionários de todos os departamentos devem realizar regularmente treinamentos de segurança específicos para cada função, que vão além de simplesmente marcar as listas de verificação de conformidade. Testes simulados de phishing, workshops sobre o manuseio seguro de dados e exercícios de comunicação de incidentes ajudam a criar uma cultura de vigilância. As pessoas geralmente são o elo mais fraco da cadeia de segurança, mas, com o treinamento correto, podem se tornar a primeira linha de defesa. O treinamento e as medidas de conscientização podem reduzir drasticamente os incidentes. 70% dos ataques podem ser evitados dessa forma.13 Esses programas compensam e ajudam as equipes a serem mais cuidadosas ao lidar com dados confidenciais e sistemas de TI.
O apoio do nível gerencial é fundamental para que as medidas de segurança sejam bem-sucedidas. As equipes de segurança devem ser orientadas para os objetivos da empresa e comunicar os aspectos econômicos dos riscos aos tomadores de decisão. O envolvimento do nível gerencial garante o financiamento, promove a cooperação e assegura que a questão da segurança seja priorizada. Dashboards, KPIs e briefings para os gerentes aumentam a transparência e conscientizam sobre a responsabilidade.
Em vista da situação atual de ameaças em constante mudança, as empresas devem revisar regularmente suas medidas de defesa. Muitas medidas são necessárias para garantir que os controles sejam eficazes e estejam sempre atualizados. Por exemplo, treinamento contínuo de equipes de emergência, testes de penetração, simulações e verificações de configuração.
As empresas com boa capacidade de resposta e aquelas que testam regularmente seus sistemas economizam cerca de US$ 2,66 milhões em comparação com as que não o fazem.14
No entanto, as medidas de segurança podem se tornar menos eficazes com o tempo devido a vários fatores de influência. Os exemplos incluem a introdução de novas tecnologias, mudanças no comportamento do usuário ou ameaças emergentes. Portanto, a reavaliação regular e o ajuste fino do conceito de segurança são essenciais. As empresas que priorizam os investimentos conforme o risco existente têm três vezes menos probabilidade de serem afetadas por ciberataques.15
Para muitas empresas, especialmente aquelas com recursos internos limitados, trabalhar com MSSPs (Managed Security Service Providers) ou usar serviços de MDR (Managed Detection and Response) traz benefícios significativos. Elas oferecem suporte de analistas experientes, monitoramento 24 horas por dia e informações ampliadas sobre ameaças. Muitas empresas não conseguem fornecer essa capacidade internamente o tempo todo.
Um conceito de segurança robusto envolve mais do que apenas ferramentas e tecnologia. A segurança exige atenção constante, treinamento adicional e cooperação entre diferentes áreas e funções da empresa.
A T-Systems terá prazer em ajudá-lo se você quiser avaliar e otimizar suas medidas de segurança. Com nosso amplo know-how em segurança cibernética, uma rede global de SOCs e uma equipe de mais de 2.600 especialistas, estamos em uma posição ideal para apoiá-lo em seu caminho rumo a uma maior resiliência operacional.
Entre em contato conosco hoje mesmo e dê o próximo passo.
1 Orion Data Breach Article, 2024, CEN News
2 BEC Article, 2025, Proofpoint
3 MediSecure Data Breach Article, 2024, Forbes
4 CSC Survey, 2025, CSC Global
5 Endpoint Security Statistics, 2025, SpyHunter
6 The Equifax Hack Article, 2025, Framework Security
7 Security Gaps Statistics, 2025, Security Magazine
8 Cyber Security Vulnerability Statistics, 2025, Astra
9 Cyber Security Vulnerability Statistics, 2025, Astra
10 Zero Trust Implementation Article, 2024, Managed Services Journal
11 Cost of Data Breach, 2024, IBM
12 The Human Factor and Cybersecurity Article, 2025, RSA Conference
13 Security Awareness Statistics, 2025, Keepnet Labs
14 Cyber Security Incident Response Article, 2025, Balbix
15 Cyber Security Threat Management Article, 2023, Gartner
