Skip links
Vagas

Estamos contratando - Faça parte da nossa equipe 👋

Saiba mais
Instagram Linkedin Spotify Soundcloud Youtube Itunes-note Deezer
Ouça o RedCast
Fale conosco
Redbelt Security
Eduardo Lopes, Daniel Moreira, Marcelo Pompeu e Diego Castro.

Cibersegurança como guardiã da reputação corporativa | RedCast #103

Author
Published on:
Published in: Blog

Durante muito tempo, reputação foi tratada como algo abstrato: importante, mas difícil de medir. Só que os números já não deixam espaço para dúvida.

No episódio nº 103 do RedCast, nosso CEO, Eduardo Lopes, abriu a conversa citando um relatório da consultoria britânica Echo Research, de 2024, que analisou 500 das maiores empresas americanas. A conclusão: 28% do valor de mercado dessas empresas vem exclusivamente da reputação, o equivalente a US$11,9 trilhões em valor de percepção e confiança.

Do outro lado, o relatório da IBM sobre violações de dados mostra que quase 60% do custo de um incidente vem de perdas indiretas, como churn de clientes, desgaste de marca e impactos que podem se estender por 5 a 10 anos na reputação.

Ou seja: quando falamos de cibersegurança, não estamos falando apenas de dados, infraestrutura e ativos. Estamos falando, cada vez mais, de como a empresa é percebida pelos seus stakeholders – clientes, investidores, reguladores, parceiros – e até pela opinião pública.

É nesse ponto que a cibersegurança passa a atuar não só como barreira técnica, mas como guardiã da reputação corporativa.

No RedCast sobre o tema, Eduardo conversa com Daniel Moreira (CISO da Drogaria Araújo), Diego Castro (AGZ4 / MD Middle East) e Marcelo Pompeu (Cyber Security Manager LATAM na Whirlpool) sobre como essa mudança de papel já está acontecendo na prática e o que isso exige dos gestores de segurança.

Assista ao episódio completo clicando aqui!

Do CISO ao “gestor da confiança”

Uma das mudanças mais simbólicas é a de cargo. Como relata Daniel Moreira, alguns executivos de segurança já começaram a se reposicionar:

“Eu vi uns três CISOs fazendo isso. Falaram: ‘Agora eu não sou CISO mais, eu sou o gestor da confiança dessa empresa.’”

A frase é mais do que um gesto de marketing pessoal. Ela traduz uma mudança estrutural: segurança não é mais apenas um tema técnico, e sim um componente central na construção (ou destruição) de confiança em relação à marca.

Essa mudança, porém, não acontece isolada dentro da área de TI. Como reforça Diego Castro, em mercados mais pressionados por regulação e capital internacional, como o Oriente Médio, o papel da segurança já é tratado em ecossistema:

“Tinha que ter um profissional de branding, de compliance, de jurídico aqui, porque [a empresa] é um ecossistema. A gente tem que olhar isso como ecossistema.”

O recado é direto: cibersegurança entra para a mesa de reputação junto com marketing, jurídico, comunicação, risco e negócios. E, em mercados como a Arábia Saudita, isso não é mais opcional. Órgãos como a National Cyber Authority condicionam até mesmo a participação em negócios públicos a um determinado “score” de segurança e governança, incluindo a proteção de executivos e da cadeia digital de fornecedores.

Reputação, aqui, deixa de ser uma consequência distante e passa a ser critério de acesso a oportunidades de negócio.

Quando a credencial do cliente vira tema de marca

Se confiança está no centro, a relação com o cliente deixa de ser apenas transacional e passa a ser também reputacional. No varejo, isso aparece de maneira muito concreta.

Daniel traz o exemplo da Drogaria Araújo, uma empresa com 119 anos, eleita durante uma década como a marca “mais querida” e “mais lembrada” pelos mineiros. O nível de conexão é tão alto que, segundo ele:

“O cliente briga para comprar na Araújo. Se tiver fora o nosso atendimento, muitas vezes ele não vai comprar no concorrente. Ele vai dar bronca, vai reclamar, vai nas redes sociais.”

Quando essa relação é tão forte, qualquer incidente digital passa a ser lido como quebra de confiança. Não importa se o vazamento aconteceu em outro lugar: se a compra é feita nos canais da marca, a cobrança vai para ela.

Por isso, a Araújo decidiu expandir o escopo de responsabilidade da segurança:

“Não tem perímetro mais. Eu tenho que focar na credencial. O cliente cadastrou, comprou um produto ali, já era. Já está comigo. Eu tenho que cuidar dessa credencial. […] Se o dado dele for vazado de alguma forma, a gente tem que notificar e orientar. […] A credencial está com você, a responsabilidade é sua.”

Na prática, isso significa adotar uma postura proativa, como monitorar credenciais de clientes em vazamentos, notificar, orientar a troca de senha e ajustar controles de acesso porque a marca assumiu, perante o cliente, a responsabilidade pela relação de confiança.

É um movimento que aproxima a cibersegurança da experiência do cliente e da proteção de reputação.

Segurança, marketing e branding: do conflito à parceria

Quando o assunto é reputação, marketing e segurança costumam se encontrar em situações de crise. O ponto dos convidados é que esse encontro precisa acontecer muito antes.

Marcelo Pompeu traz um exemplo claro de como isso pode e deve funcionar: ao conectar segurança ao time de marketing, a Whirlpool passou a tratar monitoramento de marca e campanhas como unidades de risco reputacional, não apenas de mídia.

Ele descreve um cenário cada vez mais comum: perfis falsos, anúncios fraudulentos, páginas não oficiais criadas por gerentes bem-intencionados ou por golpistas. Tudo isso nas redes sociais mistura-se facilmente ao que é oficial e pode enganar consumidores.

A resposta foi transformar esse problema em processo:

“Quando nós começamos a mostrar o valor disso e deixar por conta do time de marketing tocar essa parte, principalmente monitoramento de executivo e de promoção, as coisas mudam. Quem responde em primeiro nível é o marketing, não é o time de segurança. O N2 é marketing, o N3 é segurança.”

Na prática, isso significa:

  • Marketing informa antes as campanhas e canais oficiais.
  • Segurança monitora marca, domínios e perfis falsos.
  • Marketing responde primeiro ao cliente e à audiência.
  • Segurança entra como reforço técnico e tático para derrubar canais maliciosos.

Daniel resume a mudança de postura com uma frase que também é política interna da Araújo:

“Nossa política de segurança da informação é encantar e satisfazer a necessidade dos nossos clientes.”

Quando a segurança assume a missão de ajudar a preservar a promessa central da marca (encantar, proteger, entregar), ela deixa de ser vista como trava e passa a ser ativo de marca.

Terceiros, hotsites e campanhas: o risco reputacional “fora de casa”

Nem sempre o incidente acontece dentro do ambiente da empresa. Muitas crises de imagem começam em parceiros, fornecedores e terceiros que operam campanhas digitais em nome da marca.

Eduardo conta o caso de uma grande empresa química que patrocinava um programa de TV e fazia fortes promoções de fim de semana. Os hotsites e formulários de cadastro eram construídos por uma agência sem qualquer envolvimento da área de segurança.

Até que, em um domingo, a empresa foi avisada pela imprensa de que os dados de campanha haviam sido comprometidos. O time de segurança validou que o ambiente estava vulnerável e descobriu que nada havia passado por qualquer esteira de validação:

A partir desse incidente, o processo mudou:

– Parceiros passaram a ser avaliados com critérios claros.
– Hotsites e ações-relâmpago precisavam seguir padrões mínimos de segurança.
– A área de cibersegurança passou a ser envolvida no desenho de campanhas.

Marcelo complementa com a visão de third-party risk: fornecedores críticos são revisados anualmente, e qualquer desvio em relação a frameworks de segurança e auditorias (como SOC reports) precisa ser tratado à luz de um risco que é técnico, financeiro e reputacional.

Ao colocar terceiros dentro do radar de segurança, as empresas admitem uma verdade simples: para o cliente, não existe “culpa do fornecedor”, existe a marca estampada na campanha.

Executivos e influenciadores: quando a pessoa física vira risco de imagem

Um ponto sensível é a relação entre a vida pessoal de executivos e influenciadores e a reputação corporativa.

Com avanço de deepfakes, uso de IA para simular voz e rosto e exposição crescente em redes sociais, a linha entre indivíduo e organização ficou ainda mais tênue. Diego é direto:

“Tua vida pessoal é muito difícil de desvincular da empresa. Se você é um CEO presente, um executivo presente, o que você faz na vida pessoal está totalmente atrelado.”

Para além dos C-levels, Daniel lembra que quem representa a marca também precisa ser preparado, especialmente influenciadores:

“Tem lá um influenciador fazendo uma live sobre seus produtos. Aí tem um incidente. Os seguidores vão perguntar: ‘Vi aqui que essa marca teve vazamento de dados. E aí?’ Como esse influenciador vai reagir?”

Nesse contexto, proteger reputação passa por:

  • Conscientizar executivos sobre exposição digital e uso de autenticação forte.
  • Monitorar citações a executivos e figuras-chave em mídias e redes.
  • Preparar influenciadores para responder com clareza e alinhamento em crises.
  • Incluir áreas “invisíveis”, como secretárias executivas, no radar de proteção e treinamento, pois são alvos preferenciais de engenharia social.

Marcelo lembra que nem sempre o cargo é o indicador de risco: funcionários com décadas de empresa, muito conhecidos internamente, também podem ser pontos de ataque e precisam ser incluídos nas estratégias de blindagem, com apoio de antispam, threat intelligence e monitoramento.

Phishing, ansiedade e o fator humano na reputação

Outro ponto pouco discutido, mas essencial, é o emocional.

Em campanhas internas de phishing, Daniel observou um padrão interessante: mesmo quando os colaboradores sabiam que o e-mail era malicioso, muitos clicavam por ansiedade e impulso. Em um teste, a equipe chegou a escrever, no topo do e-mail: “Isso é um phishing”. Ainda assim, cerca de 30% das pessoas clicaram.

“A pessoa estava tão ansiosa que clicou. […] A ansiedade afeta o profissional. O pessoa viu, mas foi no automático.”

Ele lembra dados da OMS que indicam o Brasil como um dos países em que a ansiedade mais cresce no mundo. Em um cenário assim, não basta conscientizar, é preciso levar em conta o estado emocional de quem toma a decisão de clicar ou não.

Do ponto de vista de reputação, isso é crítico: um colaborador ansioso, que cai em um phishing direcionado, pode ser a porta de entrada para um incidente que compromete operações, dados e imagem pública.

Por isso, os convidados convergem em dois pontos:

  1. IA e automação se tornam obrigatórias para lidar com o volume de tentativas de phishing e ataques.
  2. Campanhas de cultura de segurança precisam ser mais empáticas e realistas, considerando comportamento e não apenas “conhecimento”.

A reputação, aqui, passa pela forma como a empresa cuida das pessoas que protegem a marca por dentro.

Planos de resposta: técnicos demais, negócios de menos

Em um episódio anterior, Eduardo já havia citado um dado preocupante: mais de 42% das empresas analisadas, em um relatório com 2.800 organizações, não possuem plano de resposta a incidentes.

Mesmo entre as que possuem, os convidados destacam alguns problemas recorrentes:

  • Planos excessivamente técnicos, sem integrar comunicação, jurídico, marketing e board.
  • Falta de testes regulares (tabletop, simulações realistas, exercícios com e-commerce fora do ar e influenciadores envolvidos).
  • Pouca ou nenhuma discussão sobre impacto reputacional mensurável: queda de vendas, perda de valor de marca, reação do mercado e da mídia.

Marcelo resume bem essa lacuna:

Muita gente até calcula o custo operacional de uma parada, mas poucos projetam o custo de marca: perda de confiança, queda em bolsa, tempo de recuperação de percepção.”

Quando isso não está no plano, a reação à crise tende a ser reativa, fragmentada e lenta, exatamente o oposto do que se espera de uma marca que quer preservar reputação em um contexto de exposição digital massiva.

Como o gestor de segurança pode, na prática, proteger a reputação da marca?

Ao longo do episódio, algumas linhas de atuação aparecem de forma recorrente. Todas elas têm algo em comum: aproximam a cibersegurança do negócio, do cliente e da marca.

Alguns movimentos concretos discutidos pelos convidados:

  • Conhecer profundamente o público e o consumidor

    Marcelo conta que a Whirlpool leva executivos para a casa de clientes, para a planta, para o call center. O objetivo é entender a jornada real e as dores do consumidor, não em relatórios, mas em primeira pessoa.
    “O foundation das coisas é você conhecer para conseguir atender. […] Teu cliente não é só o cliente da conta: teu cliente é o marketing, é o jurídico.”

  • Sair da zona de conforto e se aproximar de marketing

    Daniel incentiva todos os profissionais de segurança a “colocar a cara na janela”:
    “Conheça o tema do marketing da sua empresa. Procure uma área e tente entender o processo dela. Você começa a se conectar com o negócio pequeno, e de repente vira negócio sem perceber.”

  • Assumir que “segurança também vende”

    Ao participar desde o início do desenho de campanhas, canais digitais e novas jornadas, segurança não entra como freio, mas como critério de confiabilidade que o cliente percebe.
    Como Eduardo lembra, bancos que conseguiram posicionar segurança como diferencial acabaram ganhando clientes justamente quando outros sofreram fraudes ou incidentes.

  • Tratar executivos, influenciadores e colaboradores-chave como ativos de marca

    Preparar, monitorar, conscientizar e blindar essas figuras é tão estratégico quanto proteger o data center. A narrativa pública da marca passa por eles.

  • Transformar incidentes em virada de chave, não em cicatriz eterna

    Tanto no caso brasileiro quanto na experiência de Diego no Oriente Médio, crises severas levaram a mudanças estruturais: frameworks, cobrança regulatória, novas funções, revisão de cadeia de fornecedores.
    A diferença entre marcas que se recuperam e as que ficam marcadas está, muitas vezes, na rapidez e na qualidade dessa virada.

A reputação é ativo de negócio e cibersegurança é uma das suas principais linhas de defesa

Os dados mostram que quase um terço do valor de mercado das grandes empresas está ligado à reputação. Relatórios de violações de dados mostram que a maior parte do custo de um incidente vem de efeitos indiretos, como perda de confiança, churn e dano de imagem ao longo de anos.

Ao mesmo tempo, o digital encurtou a distância entre incidente técnico e percepção pública. Um vazamento em um hotsite de campanha, um perfil falso em rede social, um deepfake envolvendo um executivo ou uma simples resposta mal dada a um cliente podem desencadear crises que extrapolam completamente o domínio da TI.

É por isso que a função do gestor de segurança está migrando, na prática, de guardião de infraestrutura para gestor de confiança.

Como sintetiza Daniel:

“Todo mundo tem que estar preocupado com a marca, com reputação. Você tem que trabalhar dia a dia com o time de marketing para entender o que eles fazem. A partir daí, a segurança deixa de ser só técnica e passa a ser negócio.”

Diego complementa:

“Teu cliente é o marketing, é o jurídico, é o negócio. Somos corresponsáveis por esse ecossistema.”

Na medida em que a cibersegurança assume o lugar de proteger não apenas sistemas, mas relações de confiança, ela passa a ocupar, com legitimidade, o papel de guardiã da reputação corporativa.

Convidados do episódio

Daniel Moreira – CISO na Drogaria Araujo

Com mais de 18 anos de experiência em Segurança da Informação, TI, Privacidade e Governança de Dados, Daniel Moreira construiu sua carreira atuando como gestor e CISO em empresas de diferentes setores, sempre alinhando tecnologia, gestão de riscos e estratégia corporativa. Atualmente é CISO da Drogaria Araujo, uma das maiores redes de varejo farmacêutico do Brasil.

Marcelo Pompeu – LATAM Cyber Security Manager na Whirlpool

Com 15 anos de experiência na proteção de informações, construí uma carreira sólida em consultoria, pequenas e grandes empresas, focando na excelência e inovação por meio de uma cultura de segurança robusta, controles eficazes e processos otimizados em ambientes complexos. Passou por empresas como Núclea e UnitedHealth Group.

Diego Castro – CIO na empresa AGZ4 e MD Middle East

Executivo em Tecnologia e Inovação, com mais de 25 anos de experiência liderando Transformações Digitais, Estratégias de TI, Cloud e operações complexas de Tecnologia. Com trajetória consolidada em setores como Telecomunicações, Educação, Aerospace, Saneamento e Saúde, liderou iniciativas estratégicas que impulsionaram o crescimento empresarial, a criação de novos negócios, o aumento da eficiência operacional e inovação sustentável. Passou por empresas como Accenture, Oracle, MIT e INSPER.

Quer entender mais sobre como a cibersegurança influencia na reputação da sua empresa?

Assista ao episódio completo do RedCast #103 e acompanhe a troca entre os especialistas.

Leia também

This website uses cookies to improve your web experience.