As empresas nunca tiveram acesso a tantos dashboards, alertas e indicadores de telemetria. E, paradoxalmente, a sensação de que algo não está no lugar certo só aumenta.
No episódio do RedCast dedicado à observabilidade cibernética, Eduardo Lopes (nosso CEO), Marcos Sena (nosso gerente de SOC) e os convidados Lucy Engel (Diretora de Segurança Digital) e Evandi Silva (CISO da Raízen), para discutir um ponto incômodo:
“Uma coisa é você ver o dado. Outra coisa é entender o que ele está te dizendo”, resume Evandi.
Se já temos tanta visibilidade, por que ainda estamos reagindo tarde e sofrendo com incidentes que poderiam ser detectados antes? É exatamente nessa diferença que mora a observabilidade: sair da ilusão de controle e caminhar para uma segurança capaz de interpretar sinais, priorizar o que importa e reagir no tempo certo.
Observabilidade x visibilidade: a ilusão de controle
Durante anos, a lógica dominante foi: quanto mais log, melhor. Mais ferramentas, mais gráficos, mais eventos por segundo.
Complementado a discussão, Lucy e Evandi trazem um ponto que ecoa na realidade de muitas empresas: numa fase de menor maturidade, a prioridade era coletar tudo: “eu preciso de todos os logs, de toda a telemetria; depois eu vejo o que faço”.
O problema é que isso cria um cenário em que:
- Dashboards bonitos que muitas vezes só geram a sensação de que “algo está sob controle”.
- Alertas isolados, sem contexto de negócio.
- Times exaustos tentando entender um mar de informações que não se conectam.
- Cloud custa caro para armazenar dados que ninguém usa.
- Projetos de SIEM e observabilidade frustram expectativas quando viram apenas fábricas de alertas sem correlação.
Como Eduardo comenta, isso cria a “ilusão de controle”: a empresa acredita estar segura porque tem ferramentas, mas não necessariamente entende o que de fato importa dentro daquele volume de dados.
Observabilidade cibernética é justamente o passo seguinte:
sair do “eu vejo tudo” para o “eu entendo o que realmente está acontecendo”.
América Latina ainda engatinha em maturidade
Um ponto forte da conversa é a visão de maturidade.
Lucy observa que, em muitos mercados da América Latina, a segurança ainda está alguns anos atrás de grandes referências internacionais.
Enquanto alguns setores (como o bancário) já atingiram outro nível, grande parte das indústrias ainda está na fase do “junta tudo e vê depois”.
E isso aparece em decisões como:
- Migrações apressadas para cloud, seguidas de “volta para on-premises” por causa de custos mal planejados.
- Ambientes cheios de ferramentas que não conversam entre si.
- Pouca clareza sobre quais ativos são, de fato, as “joias da coroa” do negócio.
Observabilidade, nesse contexto, é sinal de maturidade organizacional, que exige: saber o que priorizar, aceitar que não dá para monitorar tudo com profundidade e colocar negócio, risco, fraude e cyber para jogar juntos.
Negócio, fraude e cibersegurança: a linha que quase desapareceu
Antes, fraude era vista apenas como falha de regra de negócio.
Ele utiliza técnicas típicas de ciberataques, como comprometimento de identidades, exploração de vulnerabilidades e acesso remoto indevido, para manipular etapas operacionais e gerar fraude.
Lucy afirma: “Eu não vejo mais isso separado. Negócio, cibersegurança e fraudes têm que estar falando juntos.”
Evandi complementa: “O fraudador explora identidade, explora vulnerabilidade pra cometer fraude. É pouco pensar de forma isolada.”
Isso muda tudo na forma de pensar observabilidade.
Não basta monitorar somente perímetro, somente logs de infraestrutura ou somente alertas de identidade. É preciso olhar para comportamentos anômalos que impactam diretamente o negócio, integrar dados de fraude, risco, TI e cyber, e conectar eventos técnicos à perda financeira real, impacto em clientes e reputação.
Enquanto as áreas discutem “quem manda em quem”, o criminoso tem tempo infinito e nenhuma regulamentação.
Cultura, board e o papel do CISO: quem puxa a agenda?
Quem deveria puxar a agenda da observabilidade cibernética? Em um cenário ideal, o negócio (board, CEO, CFO, áreas de risco) entenderia claramente o risco digital e chamaria o CISO para construir métricas e monitorias estratégicas.
Na prática, o que se vê com frequência é a iniciativa vinda do próprio CISO, que emprega um esforço constante de tradução de riscos técnicos para linguagem de negócio e enfrenta dificuldade de ter espaço real nas agendas de board.
Por isso, a observabilidade não é apenas sobre dados, mas também sobre influência sem autoridade, capacidade de criar aliados nas áreas de negócio, risco, fraude, TI e operações e estar próximo o suficiente para responder perguntas como: “Por onde podemos ser atacados?”, “O que pode acabar com a gente?”, “Quais sinais realmente importam para o nosso contexto?”.
Sem essa ponte, observabilidade vira painel para o time técnico e não ferramenta de decisão estratégica.
Joias da coroa e caminho de ataque: onde observar muda tudo
Um conceito que ganha cada vez mais relevância é o das joias da coroa: os ativos sem os quais a empresa simplesmente não opera.
Muitas companhias ainda monitoram AD, servidores, endpoints, firewall, mas ignoram a aplicação que gera 40% do faturamento.
Isso cria uma falsa sensação de segurança e um verdadeiro buraco de risco.
Eduardo Lopes trouxe um ponto que deveria estar colado na parede de toda área de segurança: “Observar é entender em que estágio do ataque eu estou até chegar no ativo principal.”
É a diferença entre ver uma tentativa isolada e ver o caminho que alguém está percorrendo rumo ao seu cofre.
Observabilidade e IA: promessa, produtividade e muitos poréns
Em algum momento, a pergunta aparece: IA vai resolver tudo?
“As pessoas esquecem às vezes que a IA é sobre dados. Então, se você tiver um bom dado, você vai gerar um bom output. Se tiver dados ruins, você vai gerar um output ruim”, enfatiza Lucy.
O fato é: IA pode aumentar produtividade como reduzir horas de análise manual, sugerir correlações, apontar comportamentos fora do padrão, mas não substitui entendimento de negócio, nem contexto.
Além disso, surgem outros desafios, como a necessidade de avaliar o nível de confiança no uso de dados sensíveis em modelos de IA, e de garantir que o contexto de negócio fornecido seja suficiente para que essas tecnologias diferenciem desvios reais de comportamentos legítimos.
Ou seja: sem o básico bem-feito, IA só vira mais uma camada em cima de problemas não resolvidos.
Observabilidade cibernética é sobre escolher o que importa
No fim das contas, observabilidade cibernética é menos sobre ver tudo e mais sobre escolher bem o que observar.
Se você hoje olha para o seu ambiente e identifica o “mato alto” de indicadores, ferramentas e logs, talvez o primeiro passo seja menos técnico e mais estratégico: entender o negócio, escolher suas batalhas e construir observabilidade em torno do que realmente mantém a empresa viva.
Convidados do episódio
Lucy Engel – Diretora de Segurança Digital
Aproximadamente 20 anos de experiência profissional em Serviços Financeiros, sendo 16 deles na área de Segurança da Informação. Experiência em prover orientação e direção estratégica, planejamento em Operações de Segurança Cibernética, Estruturas de Risco e Conformidade, Revisões de Auditoria, Consciência de Segurança da Informação e Arquitetura geral de Segurança Cibernética. Passou por empresas como Credicorp e Bank of America Merrill Lynch.
Evandi Silva – CISO da Raízen
Profissional com 20 anos de experiência em cibersegurança. Iniciou sua carreira na área técnica e tem liderado times e estruturas de cibersegurança por mais de 10 anos com estruturação de planos diretores de segurança, implantação de projetos e tecnologias para aumento da resiliência cibernética das empresas por onde passou.
Continue a conversa sobre o futuro da observabilidade
A transição da simples visibilidade para uma observabilidade plena exige novas lentes:
contexto, correlação, entendimento profundo do negócio e uma segurança que conversa com fraude, risco, TI e operação.
