Você já percebeu como, em poucos anos, saímos de ataques “artesanais” para um ecossistema de crime cibernético organizado, com orçamentos, metas e divisão de funções? No episódio #100.1 do RedCast, gravado ao vivo no Mind The Sec 2025, Eduardo Lopes recebe Marcello Zillo (Google), Juliana D’Addio (Santander) e Álvaro Teófilo (Advisor de Riscos Digitais) para mapear essa virada e, principalmente, o que ela exige das defesas.
Do artesanal ao crime organizado
No Brasil, o cenário “laboratório” é explícito: 72 facções criminosas atuam no país, duas delas transnacionais. Nos últimos 12 meses, foram registrados mais de 700 milhões de ataques cibernéticos (ou 1.379 tentativas por minuto).
Facções criminosas organizadas causaram R$1,5 bilhão em prejuízos atacando o sistema financeiro com coordenação e conhecimento sistêmico, como em casos da C&M Software, Sinqia, Monetarie, E2Pay e Tribanco. O “atacante” de ontem virou o criminoso de hoje: especializado, com capacidade de investigação sistêmica e integração entre fraude e ciber.
Pressão que gera inovação defensiva
Se o crime se “corporativizou”, as defesas também evoluíram. A indústria saiu de perímetros estáticos para arquiteturas adaptativas, de treinamentos genéricos para programas de mudança comportamental, e de uma postura reativa para antecipação estratégica.
Para Juliana D’Addio, existem três pontos importantes: a aproximação das duas disciplinas (cibersegurança e prevenção a fraude), o uso da Inteligência Artificial para alavancar as estratégias de defesa e, por fim, o fator humano. Como ela cita, “o humano é a porta de entrada, de fato, para grandes, médios e pequenos ataques, mas no fim é um clique, é alguém que vem de uma credencial, é uma informação que passa num bar”.
O papel do CISO na equação
Os CISOs hoje se veem em um papel dividido, mas que já é realidade. Metade (ou mais) dos CISOs já responde por fraude eletrônica e os que não respondem, responderão. É hora de levar casos de segurança para plataformas de negócio, participar do desenho de processos críticos e ancorar a conversa em impacto financeiro, operacional e reputacional.
“Você tem que ter visão de negócio”, afirma Álvaro Teófilo. “Ora, se a gente está falando de fraude eletrônica com um dos drivers mais relevantes do momento no Brasil, qual é a oportunidade melhor de um profissional de segurança, um CISO, entrar no negócio do que proteger o dinheiro da empresa? É hora de brilhar. É a hora de ouro de começar a entrar em uma camada que não se entra por medo em segurança, mas que é a oportunidade de evolução da sua própria carreira.”
E complementa: “Eu vejo cibersegurança, fraude e controles internos como uma série de assuntos que ficam ao redor. Hoje, o CISO deveria estar olhando, junto com a equipe de riscos, como maximizar a capacidade da empresa usando os recursos de segurança que já estão disponíveis nesses controles internos. A gente precisa olhar para isso com mais curiosidade.”
Radar externo e leitura de sinais (o papel do CISO que olha “para fora e para frente”)
Uma dica que Álvaro traz para o CISO é reservar de 10% a 20% do seu dia, toda semana, para observar o que acontece fora da sua empresa e à frente do seu tempo. Sinais fracos aparecem antes dos grandes eventos. Desde março de 2020, já havia ruídos claros de crescimento de insider threats: mais casos, mais orçamento, mais atenção.
Hoje, o insider precisa estar entre os temas prioritários, especialmente no setor financeiro. Atenção: o insider não é só “cooptado”; pode ser coagido. Ignorar os sinais internos enquanto o SOC olha apenas “para a rua” é um erro estratégico.
Programa de trabalho > framework
Marcelo Zillo reforça que é necessário conhecer o core business para encontrar as possibilidades de ajudar o negócio. É preciso sair do seu lugar e ir buscar respostas que auxiliem não só o crescimento da empresa, mas o crescimento do CISO.
“Como é que eu transformo o meu trabalho em um programa mais amplo que envolva a empresa inteira em todas as suas dimensões de risco? Eu acho que isso é um grande desafio que sai inteiramente do campo puramente técnico”, concordou Álvaro, sobre a cultura que deve haver nas empresas.
NIST/CIS são essenciais, mas não cobrem processos e plataformas de negócio. A defesa precisa ser um programa de trabalho transversal que:
- reconheça funções com riscos diferentes (call center ≠ executivo ≠ admin privilegiado);
- trate software “interno” crítico como alto risco quando integra arquiteturas de missão crítica;
- redesenhe jornadas para o caminho seguro ser o mais fácil (ex.: botão único para reportar phishing);
- inclua personas e casos de uso de negócio no SOC (poucos SOCs monitoram plataformas de produto/receita).
Cultura que muda comportamento: aculturamento > conscientização
“Curso anual” não sustenta comportamento seguro. O que funciona:
- Hiperpersonalização por persona/risco, seja para o funcionário, seja para o cliente ou na oferta de produtos.
- Pílulas no momento do erro (learning by doing): o reforço acontece no fluxo de trabalho.
- Design de jornadas que tornam o caminho seguro também o mais fácil (ex.: botão 1-clique para reportar phishing, microtextos acoplados ao sistema, fluxos de aprovação legíveis).
- Histórias reais e quase-incidentes: adultos priorizam o que entendem; emoção é a cola da memória.
Transparência que aproxima a liderança
Abrir incidentes de modo responsável, respeitando os limites de confidencialidade, muda a cultura. Quando a diretoria enxerga o que ocorreu, quanto poderia custar e o plano de ação, a conversa deixa de ser “custo de TI” e passa a ser continuidade do negócio. O efeito colateral positivo é imediato: mais áreas procuram segurança para revisar produtos, canais e processos.
Álvaro reforça: “Quando a gente teve um desses incidentes e o nosso presidente decidiu fazer um workshop para todos os executivos para falar do que aconteceu de forma clara, eu quase caí da cadeira. Só que o efeito cultural para a gente de longo prazo foi espetacular. Você deve estar colhendo frutos até hoje.”
Comunicação é a hard skill esquecida
Não basta “emitir” mensagem; é preciso fazer-se entender. Comunicação eficaz considera quem está do outro lado (viés, objetivo, repertório) e traduz segurança para impacto financeiro, operacional e reputacional.
Para Juliana D’Addio, comunicação é uma skill que deve ser desenvolvida pelos gestores de cyber. “Eu acho que na nossa área de atuação, a comunicação é fundamental porque ninguém faz nada sozinho e isso eu falo sempre quando eu estou em mentoria, desenvolvendo o time ou para gente que me pede dica. Eu sempre falo: melhore sua comunicação.”
Governança: responsabilidade distribuída
Além do aspecto para desenvolvimento pessoal e profissional do CISO, como é o caso da comunicação, as empresas precisam entender algo importante: Segurança não é “do CISO”.
É preciso distribuir responsabilidades por linhas de defesa (negócio, risco, compliance, TI, operações). O CISO coordena e habilita, mas cada dono de processo responde pelo seu risco. Isso alivia a sobrecarga da cadeira e, principalmente, eleva a maturidade real da organização.
No fim, todo o processo e desempenho não somente do CISO, mas de toda uma equipe bem alinhada e estruturada, é proteger a empresa e evitar possíveis ataques que podem custar tempo, dinheiro e comprometer o futuro até de negócios mais sólidos.
Em resumo
A criminalidade digital já opera como empresa. A resposta eficaz não é mais ferramentas, e sim mais programa: radar externo ativo, foco em Insider threats, cultura que muda comportamento, jornadas desenhadas para o certo ser fácil, comunicação que engaja, métricas que sustentam orçamento e governança distribuída. É assim que a segurança deixa de ser barreira e passa a ser alavanca de resiliência do negócio.
Convidados do episódio
Marcello Zillo – Head of Security Sales, no Google
Líder de cibersegurança com +25 anos de experiência, foca em fortalecer a segurança na nuvem. Como autor e professor, ele lidera equipes na entrega de soluções inovadoras e capacita a nova geração de profissionais. Com formação no MIT, Insper e USP, Zillo foi professor na FIA e MBA USP/Esalq. Passou pelos bancos Safra e Santander, além da Microsoft e AWS.
Juliana D’Addio – Estrategista de Cultura de Segurança no Santander
Profissional com quase 30 anos de atuação em segurança, na intersecção entre cultura, comportamento e neurociência aplicada ao fator humano. Atualmente lidera a estratégia de cultura de segurança digital no Santander, após passagens por Itaú Unibanco e PwC. Seu trabalho conecta ciência comportamental, comunicação e gestão de riscos humanos, com foco na construção de ambientes organizacionais mais seguros, conscientes e resilientes. Atua também na Womcy.
Álvaro Teófilo – Advisor de riscos digitais
Com mais de 25 anos de experiência como CISO, foi head de Riscos Não Financeiros e CISO do Banco Santander Brasil e coordenou o Comitê de Riscos da TecBan, provedora líder de serviços de rede compartilhada de caixas eletrônicos no Brasil. Hoje, atua como advisor para ajudar as empresas a fortalecer seus controles e governança de riscos digitais. É membro Independente dos Comitês de Segurança, Auditoria e Risco no Banco Neon, um Banco Digital Brasileiro.
Assista ao episódio completo
Este é o primeiro capítulo da trilogia especial do RedCast #100. Na parte 1, mostramos como a evolução das ameaças para o crime organizado exige programas de defesa mais amplos, unindo tecnologia, processos, pessoas e governança com responsabilidade distribuída e métricas de negócio.
Veja o episódio 100.1 aqui.
