Skip links
Vagas

Estamos contratando - Faça parte da nossa equipe 👋

Saiba mais
Instagram Linkedin Spotify Soundcloud Youtube Itunes-note Deezer
Ouça o RedCast
Fale conosco
Redbelt Security
RedCast 100.3: Eduardo Lopes, Felice Napolitano, Thiago Cunha, Nycholas Szucko

Cibersegurança no centro de tudo: a convergência com fraude, compliance e o board | RedCast #100.3

Author
Published on:
Published in: Blog

Há alguns anos, a segurança da informação era vista como um silo técnico, uma área isolada, muitas vezes lembrada apenas em auditorias ou após um incidente.

Hoje, esse paradigma caiu por terra. Um único evento pode desencadear uma reação em cadeia: fraude se transforma em crime cibernético, que vira violação regulatória, que vira crise de governança e afeta diretamente o faturamento.

Na última parte da trilogia do episódio 100 do RedCast, nosso CEO, Eduardo Lopes, recebeu Thiago Cunha (head de Segurança Corporativa na Dock), Felice Napolitano (diretor de segurança) e Nycholas Szucko (conselheiro e palestrante) para explorar a transformação mais estrutural dos últimos seis anos: a convergência definitiva entre cibersegurança, fraude, compliance e governança corporativa e como a separação entre departamentos se tornou não apenas obsoleta, mas perigosa.

Assista agora ao episódio completo do RedCast #100.3

A nova realidade: do incidente ao impacto no conselho

O que antes era um problema “de TI” agora é um tema de governança corporativa.
Segundo o Gartner, até 2028, 20% das grandes empresas terão times de “fraudes cibernéticas”, integrando segurança, compliance e prevenção a crimes financeiros — número quatro vezes maior que em 2023.

E os números mostram o porquê:

  • 77,6% dos CISOs já incluem avaliações de risco em relatórios executivos.
  • 75,5% incorporam análise de impacto no faturamento.
  • E cada incidente significativo gera repercussões em múltiplas frentes: legal, reputacional e financeira.

Como destacou nosso host, Eduardo Lopes, “Na hora que os criminosos fazem, de fato, um ataque aos nossos ambientes, às nossas companhias, eles não estão preocupados se eles estão afetando o CISO, se eles estão afetando a equipe de fraude ou de compliance. Não, eles querem o objetivo final que é invadir, é cometer um crime e é, talvez, em alguns momentos, fazer uma parada ou tirar dinheiro de forma simples e direta. Por isso, não faz mais sentido que as defesas atuem separadas.”

Líderes de segurança (CISOs) estão se coordenando cada vez mais com:

  • DPOs e Jurídico: para garantir a conformidade com leis de proteção de dados (como a LGPD) e mitigar multas regulatórias decorrentes de vazamentos.
  • Antifraude: como demonstrado em grandes bancos, a fusão de times de Cyber e Fraudes (dando origem a um “Cyber & Fraud Prevention Center” ou Fusion Center) permite reduzir a perda financeira efetiva. A equipe de Fraudes, por exemplo, pode atuar na retenção de recursos junto a outras instituições enquanto a equipe de cibersegurança busca a causa-raiz.
  • Auditoria Interna e Compliance: para estabelecer a diligência no cumprimento de protocolos e normas, o que se torna um atenuante da pena em caso de incidentes graves, especialmente em ambientes regulados.

Essa colaboração transforma a operação. Em vez de briga interna durante uma crise, há uma sinergia focada na resolução rápida e na proteção da empresa.

Governança e o papel do board

A pauta de cibersegurança chegou ao conselho de administração, mas ainda de forma fragmentada. Faltam cadência e linguagem. Mais do que mostrar quantos ataques foram bloqueados, é preciso traduzir vulnerabilidades em números que o board entenda: impacto em caixa, multa, perda de receita, risco reputacional.

Empresas mais maduras já adotam uma rotina de relatórios mensais e simulações trimestrais de crise, envolvendo diretoria e conselho. Nessas simulações, aparecem lacunas que não surgem nos relatórios, como indefinições de papéis, falhas de comunicação, decisões lentas.

Felice trouxe um caso de sua própria experiência: “Eu tive a experiência no banco, eu como CRO, que se levava um tema como esse que não chamava muita atenção. Eu comecei a levar mensalmente fatos recentes, ataques recentes do mesmo segmento. Isso começou a atrair a atenção. ‘Pô, mas se aconteceu lá, por que não aconteceria aqui? E se acontecesse, o que nós faríamos?’ E eles começaram a se envolver um pouco mais no tema. Até que um dia eu decidi fazer uma simulação para tangibilizar ali mesmo. Falar, “bom, se isso acontecesse, o que nós executivos faríamos? O que os conselheiros fariam?’ E foi show de horror, foi um caos.”

A partir daí, segurança passa a ser discutida como governança, e não mais como tecnologia.

Convergência em prática: o nascimento dos Fusion Centers

A integração entre fraude, cibersegurança e compliance já é uma realidade em instituições financeiras e vem ganhando força em outros setores.

Modelos como os Fusion Centers (estruturas que unem times de segurança, risco e prevenção) permitem respostas mais rápidas e coordenadas.

Quando ciber e fraude operam lado a lado, o tempo de decisão cai drasticamente. Além disso, jurídico, compliance e comunicação participam desde o início, com playbooks conjuntos de resposta a incidentes, vazamentos e crises reputacionais. A resposta deixa de ser improviso e vira processo.

Como relatou Felice Napolitano:

“Quando as áreas estão na mesma sala, o tempo de resposta muda completamente. Enquanto o time de cyber bloqueia o IP, o de fraude já aciona outros bancos para segurar as transações. Essa tempestividade faz toda a diferença.”

Essa abordagem rompe os antigos silos organizacionais e cria visão única do risco, reduzindo perdas financeiras e aumentando a eficácia das ações preventivas.

O desafio da cadeira e a responsabilidade fiduciária

Com a crescente relevância do tema, aumenta a cobrança por responsabilidade. O CISO moderno não pode mais ser apenas um técnico. Ele deve ser um estatutário com responsabilidade fiduciária.

“O quanto o ‘C’ do ‘Chief’ da palavra CISO é de fato um Chief?”

O medo de mostrar fragilidade leva muitos CISOs a tentarem derrubar apontamentos de auditoria e a tratarem riscos de forma velada. No entanto, o profissional deve assumir o protagonismo:

  • Diligência: ter responsabilidade e realizar seu self-assessment, declarando os riscos. A pior coisa é saber de um risco e negligenciá-lo.
  • Comunicação: o CISO tem que buscar o espaço, sabendo que as cadeiras de risco e governança estão lá para falar o que ninguém quer ouvir.
  • Balcão de negócios: o CISO não é a bala de prata, mas o orquestrador que conecta pessoas, processos e tecnologia ao negócio.

A responsabilidade fiduciária garante que, diante de uma decisão que afete a segurança (como evitar um duplo fator de autenticação por “experiência”), o CISO possa informar o risco com a força de sua posição, protegendo a empresa e a sociedade.

O papel do CISO na nova cultura de risco

Na nova governança de segurança, métrica é o que sustenta decisão. A contagem de eventos bloqueados ficou obsoleta. O que importa é o quanto de perda foi evitada, quanto tempo o negócio ficou vulnerável, qual a taxa de recuperação financeira e qual o percentual de riscos críticos com plano e dono definidos.

Esses indicadores aproximam o CISO do CFO, e o tema passa a ocupar espaço legítimo no orçamento corporativo. Ao traduzir segurança em reais poupados, em minutos de indisponibilidade evitados e em conformidade comprovada, a conversa com o conselho deixa de ser sobre tecnologia e passa a ser sobre continuidade de negócios.

O CISO moderno precisa entender tanto de arquitetura de rede quanto de fluxo de caixa. Seu papel é unir times, quebrar barreiras e ensinar o negócio a pensar segurança como vantagem competitiva.

Ele precisa sentar-se à mesa com times de Produto, Compliance, Auditoria e Jurídico, não para relatar problemas, mas para construir soluções conjuntas. O CISO que fala a língua do board não apresenta alertas, apresenta cenários, caminhos e métricas que orientam decisões.

Como reforçou Thiago Cunha: “A pior coisa que pode existir é você saber de um risco e não tratar.”

O futuro da convergência: uma estratégia de crescimento

Convergir não é modismo, é maturidade. É reconhecer que riscos vivem nas fronteiras entre áreas, sistemas e decisões. Empresas que abraçam essa convergência cedo transformam caos em cadência: simulam, medem, aprendem, ajustam, comunicam e repetem.

As que resistem, deixam que a manchete dite o ritmo da mudança.

Apesar dos desafios culturais de um lado (seja separação de áreas ou ego) e da negligência do usuário final do outro (diligência pessoal), a tendência para os próximos cinco anos é clara:

  • Sistemas regulados: o setor financeiro e outras áreas reguladas liderarão a convergência rapidamente, impulsionadas pela dor de grandes perdas e pelas obrigações legais.
  • Segurança embarcada: a expectativa é que a segurança se torne algo embutido no produto, assim como a energia elétrica. Ninguém quer “comprar segurança”; todos querem comprar o produto seguro.
  • Cultura 360°: o conceito de que “todo mundo é responsável pela segurança” deve ser ampliado para “todo mundo é responsável pela segurança e pela prevenção à fraude”. A conscientização deve ser contínua e envolver toda a organização.

O CISO que se desenvolver, construir alianças e souber traduzir risco em valor para o negócio estará pronto para ocupar o centro de todas as decisões estratégicas e garantir a longevidade da companhia.

Convidados do episódio

Thiago Cunha Head de Segurança Corporativa na Dock

Com mais de 26 anos de experiência na área. Lidera os temas de segurança da informação, prevenção à fraudes, controles internos, gestão de riscos e privacidade. Possui formação e especialização em Cybersecurity pelo MIT, Gestão de Riscos e Conselho de Administração pelo IBGC, Compliance pelo Insper e MBA em Gestão Estratégica e Econômica de Negócios pela FGV. É professor na FIA.

Felice Napolitano CISO

Executivo de Finanças, Controladoria, Auditoria, Compliance e Riscos. Sólida trajetória em empresas multinacionais, com report global, em diferentes momentos. Estruturação de Auditoria Interna, Riscos e Compliance. Implementação de ferramentas e tecnologias de suporte à eficiência na gestão financeira de alta complexidade nas Operações e implementação de estruturas robustas de governança, na construção e consolidação. Passou por empresas como BMG e ABN AMRO Bank N.V.

Nycholas Szucko Conselheiro e palestrante

Mais de 20 anos de experiência em Negócios, TI e Cibersegurança, Nycholas atua como Palestrante, Consultor e Conselheiro, sendo membro do conselho da Dfense Security & Rede Digitalize. Em suas palestras, é referência e fala com propriedade sobre temas como Antifragilidade, Jogos Infinitos e Educação para iniciantes em segurança digital. Além disso, ele coordena e leciona o curso de cibersegurança para executivos da ABRASCA.

RedCast 100

Este é o terceiro e último capítulo da trilogia especial do RedCast #100, gravado ao vivo no Mind The Sec 2025. Na parte final, exploramos como a cibersegurança se tornou o eixo central da governança corporativa, conectando fraude, compliance e conselho em um mesmo fluxo de decisão.

Assista agora ao episódio #100.3 e entenda, na prática, como integrar segurança, risco e negócio para transformar incidentes em aprendizado, fortalecer a confiança do board e sustentar a continuidade das operações em um cenário cada vez mais interdependente.

Leia também

This website uses cookies to improve your web experience.