A maioria dos incidentes começa onde a arquitetura foi “flexibilizada”

Quem trabalha com tecnologia sabe como essas decisões acontecem.

O projeto está atrasado, o time precisa acessar rápido, o fornecedor precisa entrar “só por um período” e o MFA está causando conflito demais no suporte.

Então alguém flexibiliza a arquitetura e quase sempre com a melhor das intenções: fazer a operação andar.

No dia em que a decisão é tomada, ela faz sentido. 

O problema é que o ambiente segue mudando, o negócio evolui, novas pessoas entram, sistemas se integram… e aquela exceção continua ali, funcionando em silêncio. Ninguém volta para perguntar se ela ainda deveria existir.

Na prática, muitos ambientes não são exatamente como foram desenhados. Eles são como foram ajustados ao longo dos anos para dar conta da realidade.

O Cyber Security Report 2026 mostra que boa parte dos incidentes mais relevantes de 2025 não começou com algo “quebrando” ou com um ataque barulhento. Começou com o uso de acessos legítimos em ambientes onde essas flexibilizações já faziam parte do “normal”.

Credenciais válidas, permissões amplas, confiança implícita.

Em vários casos analisados, os atacantes ficaram semanas dentro do ambiente sem chamar atenção. 

Usaram exatamente os mesmos caminhos que um administrador ou um fornecedor usaria. Para quem estava olhando de fora, parecia só mais um dia de operação, sem nada alarmante ou que pudesse ser diagnosticado como fora do padrão.

E isso é o que torna esses ataques tão difíceis de perceber. Não existe um alerta claro dizendo “isso é um ataque”. 

Existe uma sucessão de pequenas ações que, isoladamente, parecem aceitáveis. Um login fora do horário, um acesso administrativo recorrente, uma movimentação entre sistemas que já se comunicam.

Quando o ransomware aparece, ele parece o problema. Mas, na verdade, ele é só o ponto em que a situação fica impossível de ignorar. O ambiente já foi entendido, os caminhos já foram testados, os backups muitas vezes já foram tocados.

Do ponto de vista técnico, tudo estava funcionando. Do ponto de vista arquitetural, o ambiente havia se tornado permissivo demais sem que ninguém tivesse essa percepção clara.

Isso acontece porque a arquitetura não falha de uma vez. Ela vai sendo “adaptada” e minada aos poucos. Uma exceção aqui, outra ali. E como nada quebra imediatamente, a sensação é de que está tudo sob controle.

Os dados do relatório reforçam algo que vemos na prática: a identidade virou o principal apoio dos ataques modernos. 

Não porque o IAM seja fraco, mas porque ele reflete exatamente essas decisões acumuladas ao longo do tempo. Quando ninguém revisita privilégios, fluxos e acessos com contexto, o atacante não precisa forçar a entrada. 

Ele só segue o caminho já aberto.

Flexibilizar a arquitetura não é um erro em si.

Em muitos momentos, é inevitável. 

O risco começa quando essas decisões deixam de ser revisitadas e passam a ser tratadas como parte definitiva do ambiente, mesmo quando o contexto já mudou completamente.

Talvez a pergunta mais honesta que um time possa se fazer hoje não seja “onde estamos protegidos?”, mas “quais decisões antigas ainda estão moldando nossa arquitetura sem que a gente perceba?” ou até mesmo, “estamos revisitando controles com periodicidade adequada para evitar erros omissos?”

Na maioria dos incidentes, é ali, no acúmulo silencioso dessas flexibilizações, que tudo começa.