top of page

Cybersecurity não falha por falta de investimento - falha por investimento mal priorizado

  • Foto do escritor: Carlos Giliarde
    Carlos Giliarde
  • 20 de mar.
  • 2 min de leitura

Pessoa usando fones de ouvido trabalhando em um computador com múltiplos monitores exibindo código em ambiente escuro.

É comum ouvir que empresas sofrem incidentes graves porque “não investiram o suficiente em cybersecurity”. Mas, depois de acompanhar de perto ataques, crises operacionais e decisões difíceis em momentos críticos, minha percepção é outra.


Na maioria dos casos, o problema não é quanto se investe, mas onde se investe. Cybersecurity


O Cyber Security Report 2026 mostra que os ataques mais impactantes de 2025 não exploraram falhas técnicas sofisticadas ou zero-days raros. 


Eles exploraram identidade, processos legítimos e pontos cegos de visibilidade. 


Em muitos desses casos, os ambientes tinham ferramentas modernas, múltiplas camadas de proteção e orçamentos relevantes.


Ainda assim, o ataque avançou.


Por quê? Porque a segurança não falha quando falta tecnologia. 

Ela falha quando o investimento não conversa com o risco.


Vemos empresas reforçando perímetro enquanto o problema está na identidade.

Investindo em ferramentas isoladas enquanto o atacante opera silenciosamente entre sistemas que não se conversam.


Comprando mais alertas quando o que falta é contexto para decidir.


O relatório aponta, por exemplo, que quase metade das campanhas de malware analisadas em 2025 envolveu o próprio usuário executando ações maliciosas sem perceber, seguindo fluxos que pareciam legítimos. 


Isso muda completamente a lógica de priorização. 


Não adianta apenas “bloquear melhor” se o ataque se parece com operação normal.


Outro dado que chama atenção é o tempo de permanência do atacante. Em vários casos, foram semanas de atividade silenciosa antes do ransomware aparecer.


O impacto não veio da falta de resposta, mas da resposta tardia, quando o controle já havia sido perdido.


Isso nos leva a uma reflexão importante: segurança madura não é aquela que acumula controles, mas a que reduz incerteza.


É aquela que ajuda a responder perguntas simples, mas críticas:


  • Isso é comportamento esperado ou desvio?

  • Esse acesso faz sentido agora?

  • Estamos vendo eventos isolados ou uma campanha em andamento?


Quando o investimento não prioriza essas respostas, o risco permanece, mesmo com orçamento alto.


Talvez o desafio de 2026 não seja convencer as empresas a investir mais em segurança, mas ajudá-las a investir melhor. Com foco em identidade, visibilidade integrada, contexto e capacidade de decisão no tempo certo.


No fim, segurança não é se trata das melhores e atuais ferramentas, mas em enxergar melhor o que já está acontecendo.


E isso, infelizmente, ainda é onde muitos ambientes falham.

Comentários

bottom of page