Em um contexto de transformação digital acelerada, a forma como as empresas encaram a cibersegurança ainda está presa a um modelo que já não responde às ameaças atuais. Enquanto investimentos em ferramentas aumentam, falhas operacionais básicas continuam abrindo espaço para ataques que não exigem invasão, apenas o uso de acessos legítimos mal gerenciados.

O alerta partiu de especialistas da OSTEC, empresa focada em soluções completas de cibersegurança. Em um evento online realizado no último mês, os especialistas destacaram que este cenário evidencia um desalinhamento entre a complexidade das soluções adotadas e a execução do essencial. “Não existe bala de prata. Segurança dentro e fora da rede é uma construção em camadas. O problema é que muitas empresas implementam controles isolados e deixam lacunas justamente no que sustenta toda a estrutura”, afirma Fabio Brodbeck, Chief Growth Officer (CGO) da OSTEC.

Na prática, mecanismos como autenticação multifator e políticas de senha mais rígidas seguem importantes, mas não suficientes. Isso quer dizer que, se uma credencial for comprometida, algo cada vez mais comum, pouco importa a complexidade da senha. O atacante simplesmente entra na estrutura ou sistema.

Nuvem e IA tem ampliado exposição nos últimos anos

O avanço da nuvem, do trabalho remoto e das aplicações SaaS ampliou a superfície de ataque, permitindo que sistemas críticos sejam acessados a partir de dispositivos pessoais, muitas vezes sem qualquer controle. O risco se intensifica com falhas recorrentes, como permissões excessivas, contas antigas ativas e credenciais mal gerenciadas.

“Quando a identidade é comprometida, não há barreira tradicional que a segure. O atacante não precisa explorar uma vulnerabilidade técnica, ele apenas utiliza um acesso válido. Podemos dizer que são fragilidades conhecidas, mas ainda pouco tratadas de forma consistente, pois as tecnologias tradicionais não protegem contra um acesso, teoricamente, válido”, explica Jardel Torres, Sócio e Diretor Comercial (CCO) da OSTEC.

Outro ponto crítico está no uso de VPNs, que frequentemente concedem acesso amplo à rede corporativa. Com isso, uma credencial comprometida pode significar acesso direto a todo o ambiente. Modelos mais modernos, como o de confiança zero, permitem restringir acessos com base em contexto, mas ainda são pouco adotados. A complexidade aumenta com a nuvem, que fragmenta dados entre diferentes provedores e dificulta a visibilidade. Nesse ponto, erros de configuração seguem como uma das principais causas de exposição, exigindo uma abordagem mais madura de operação e segurança.

“Ao mesmo tempo, o uso crescente de inteligência artificial dentro das empresas adicionou uma nova camada de risco. Ferramentas são adotadas sem governança clara, muitas vezes conectadas a dados sensíveis. E, sem diretrizes claras de uso, a IA pode ampliar significativamente o risco de exposição de informações”, alerta Torres.

Identidade e dados no centro da estratégia

Diante disso, os especialistas em cibersegurança apontam que a principal mudança a ser feita é a conceitual. O modelo baseado em perímetro perdeu relevância e a identidade passou a ser o novo centro da segurança. Isso exige controle mais rigoroso de acessos e monitoramento contínuo para identificar comportamentos anômalos.

“A gente precisa parar de pensar só em bloquear invasões. Muitos ataques exploram acessos que já existem. O foco precisa estar na identidade, no comportamento e no dado”, reforça Brodbeck.

Essa visão se conecta ao avanço de estratégias centradas no dado, que buscam proteger a informação independentemente de onde ela esteja. Para isso, é essencial evoluir em inventário e classificação de dados; Sem visibilidade, não há proteção eficaz. Isso porque, apesar dos avanços tecnológicos, grande parte dos problemas ainda está na execução. “Processos básicos seguem negligenciados, mesmo sendo decisivos para reduzir riscos. A tecnologia ajuda, mas o que faz diferença é disciplina operacional e governança”, afirma Torres.

Por fim, eles reforçam que a segurança total é inalcançável. Por isso, ganha força a abordagem baseada na redução de impacto, focada na capacidade de resposta. “A pergunta não é mais se o ataque vai acontecer, mas o quão preparada a empresa está para responder e limitar os danos”, conclui Brodbeck.