A Redbelt Security realizou o Expand 2025, a quarta edição do evento que, neste ano, reuniu 100 especialistas do mercado de Segurança da Informação (SI) no SP Hall, em São Paulo, para falar sobre os desafios do setor. Ao fazer uma retrospectiva sobre as edições anteriores, Eduardo Lopes, CEO da empresa, destacou o crescimento do evento e a necessidade de debater temas que estão no topo da agenda dos líderes de SI. “Começamos em 2022 com cerca de 40 executivos e hoje somos mais de 100 debatendo os assuntos que estão, de fato, nos inquietando”, disse.
Segundo ele, o cenário de cibersegurança mudou muito nos últimos anos e é importante entender essas transformações para que a estratégia de proteção de dados evolua proporcionalmente. “Estive recentemente em um evento da Polícia Federal, em Brasília, e pude testemunhar que não estamos mais lutando contra lobos solitários, mas contra o crime organizado. Por isso, posso reafirmar como o nosso dia a dia é desafiador e que o objetivo aqui é compartilhar informações”.
Fraudes e golpes financeiros – do físico para o digital
Para apresentar o atual panorama de fraudes e golpes digitais no cenário brasileiro, Erik Siqueira, Chefe da Coordenação de Repressão a Fraudes Bancárias Eletrônicas da Polícia Federal, subiu ao palco do Expand 2025. Ele está há mais de 20 anos combatendo o cibercrime e falou justamente sobre a migração das práticas ilícitas do ambiente físico para o digital. O mega assalto a uma agência bancária de Araçatuba, em 2021, foi usado como exemplo.
Nessa ocasião, a ação dos criminosos envolveu dezenas de pessoas, um enorme investimento financeiro em carros, armas e explosivos, além dos riscos de serem identificados e presos. Enquanto este assalto gerou um dano de aproximadamente R$ 7 milhões aos bancos, uma quadrilha especializada em golpes digitais causou cerca de R$ 30 milhões em prejuízos ao desviar o dinheiro da conta do presidente de um banco digital. “E sem confronto com a polícia, sem sangue, com um investimento bem menor e um risco do criminoso ser capturado muito baixo”, disse o agente federal.
Segundo Siqueira, o phishing é o principal vetor dos crimes cibernéticos há décadas e uma das condutas criminosas mais subestimadas da era digital. Na opinião dele, o fato de esta prática não ter violência, sangue e grande repercussão na imprensa, gerou uma visão romantizada e menos importante que os crimes, até então, mais tradicionais. “Aprendemos a internalizar isso como algo normal, de achar que crime sem sangue não tem relevância”, refletiu. No entanto, ele advertiu que o golpe digital pode não ter violência, mas financia condutas violentas, como facções criminosas e grupos terroristas.
Para o especialista, a facilidade de abertura de contas em bancos digitais é um dos fatores que facilitou a prática do crime no ambiente eletrônico. Rapidamente, o dinheiro do golpe é pulverizado em inúmeras contas, dificultando o rastreamento e a identificação dos envolvidos. As consequências são diversas: pessoas e empresas com a reputação abalada, problemas emocionais nas vítimas, estabelecimentos sendo fechados, prejuízo financeiro e centenas de milhares de ocorrências a serem investigadas. “É um problema de segurança pública”, afirmou.
O cenário, de acordo com Siqueira, é preocupante. Cada vez mais colaboradores são cooptados pelo crime, seduzidos por um alto valor financeiro. O uso de engenharia social, impulsionados pela automação e Inteligência Artificial, também cresce. Além desses fatores, os grupos criminosos compartilham muitas informações e se ajudam muito, transformando fraudes em portas de entrada para ataques cibernéticos mais complexos.
O enfrentamento a esse panorama de crimes virtuais deve se dar por meio de cooperação, capacitação e tecnologia. Como exemplo, Siqueira mencionou a Plataforma Tentáculos, um conjunto de ferramentas, serviços, procedimentos e instituições interconectadas que visam o combate às fraudes bancárias eletrônicas. “É preciso uma mudança de mindset e de cultura de combate. Enquanto o crime anda na velocidade da luz, ainda há empresas que enviam ofícios”, refletiu o agente, destacando que “todo mundo da empresa é responsável pela segurança da organização”. “A cooperação entre o público e o privado é a forma moderna de se combater o crime organizado.
Fraudes e cibersegurança: a integração do futuro
À medida que cibercriminosos inovam e combinam vários métodos de intrusão, extorsão, vazamentos e outras ameaças para cometer fraudes, a colaboração entre as instituições públicas e privadas é fundamental para vencer o cibercrime. Mas e dentro das empresas, como as áreas podem agir conjuntamente para reduzir riscos e aumentar a segurança da informação? Segundo uma tendência apontada pelo Gartner, unir os departamentos de Fraude e Cibersegurança é um caminho a ser considerado. Mediado por Eduardo Lopes, CEO da Redbelt, o Expand 2025 reuniu Felice Napolitano, CRO no Banco BMG, Paulo Condutta, CISO no Ouribank, e João Passos, CISO da Brasilseg, para debater o tema.
Na opinião de Napolitano, a união entre as áreas de Fraudes e Cibersegurança é um caminho sem volta. “Como gestor de riscos, é importante que esses departamentos sejam integrados. Extingui a cadeira de prevenção e coloquei abaixo da estrutura de cyber e essa ação se mostrou muito produtiva. Além disso, os dois times estão no mesmo espaço físico, cada um se ouvindo e entendendo tudo o que acontece com o outro”, explicou. Passos concorda e enxerga que muitas organizações estão convergindo áreas para esse modelo.
Segundo o executivo da Brasilseg, João Passos, é fundamental que esse processo se dê de maneira inteligente, já que, muitas vezes, “achamos que estamos juntos, porém, ninguém interage, fica esperando alguém dizer algo, somente absorvendo e não compartilhando”. Passos reforçou que o crime é organizado – como o próprio nome diz – e está na hora das diferentes áreas das empresas se unirem também. “Devemos organizar e unir as áreas para gerar mais sinergia e criar oportunidades para debater boas práticas e sair da inércia”.
Paulo Condutta, CISO do Ouribank, destacou que já existem boas iniciativas, e que a Plataforma Tentáculos – mencionada pela PF – é um bom exemplo. “Os parceiros nos ajudam a elevar a discussão de segurança. Se a gente não aprende com os erros, abrimos uma brecha.”, disse. De acordo com o especialista, a fraude não ocorre de forma independente, mas dentro de um contexto de rede, que passa por várias instituições. “O compartilhamento tem que ser institucional”, afirmou Eduardo Lopes, CEO da Redbelt Security. O executivo reforçou que uma fraude ocorrida em uma unidade de uma grande rede pode ser usada para cometer outros crimes em organizações do mesmo grupo posteriormente.
Na hora da crise, muitos grupos se reúnem e trocam informações, disse Napolitano. No entanto, o executivo do BMG sugeriu que os profissionais sejam mais ativos e menos reativos. “Na hora do calor, todos se mobilizam, mas isso é uma resposta reativa, não preventiva”, afirmou. “Precisamos institucionalizar o que acontece nos grupos de mensagens. Essa troca permite que a gente compartilhe os sucessos também”, concordou Condutta.
SOCLess e o fim dos alertas falsos positivos
“Você sabia que até 98% dos alertas gerados por SOCs, SIEMs, entre outras ferramentas, podem ser falsos positivos ou inúteis?” Foi com essa pergunta que Rodrigo Jorge, CISO na CERC, iniciou a sua apresentação sobre SOCLess no palco do Expand. A proposta desta estratégia é que, com a automação e o uso estratégico de IA, ela permita às equipes de segurança focarem no que realmente importa: a resposta e a remediação mais eficazes de incidentes.
Segundo o especialista, ainda há muitas pessoas com dificuldade de contratar um SOC. Além do custo, há uma grande quantidade de alertas que demandam atenção dos profissionais, sobrecarregando os times e tornando o ambiente mais vulnerável, já que se perde tanto tempo conferindo alertas desnecessários, enquanto ameaças reais aos negócios se misturam ao excesso de sinais. A falta de adequação torna este trabalho caro e ineficiente, com uma alta taxa de turnover entre os profissionais do setor. “Gasta-se muito com tratamento de alertas”.
Na opinião do especialista, a segurança cibernética precisa acompanhar o ritmo acelerado das ameaças digitais, e o conceito de SOCLess representa essa evolução, trazendo velocidade, redução de custos, inteligência operacional, classificação inteligente de incidentes, alarmes consistentes, análise preditiva e automação para a estratégia de segurança. “O SOCLess nada mais é do que um SOC moderno: o sistema detecta um comportamento, bloqueia, gera playbooks e as pessoas veem melhorias a partir desse processo”, simplificou.
Atualmente na CERC, Jorge disse que está seguindo esse conceito de SOCLess e a Redbelt tem ajudado ele nessa jornada de adoção, sem a necessidade de integrações que não fazem sentido. “Antes, integrávamos soluções distintas como um Threat Intelligence de uma marca e um SIEM de código aberto. Agora, a IA ajuda a sugerir novos playbooks, entre outras melhorias. Atualmente, as soluções unificadas de segurança tomam ações de maneira autônoma, economizando dinheiro, tempo e o mais importante: é eficiente!”.
Segundo Jorge, a missão do profissional de segurança é proteger, chegar na frente dos criminosos, e a indústria tende a seguir o caminho de integrar cada vez mais as soluções. “Possivelmente, muitas empresas operam em um modelo SOCLess e nem saibam”. A pergunta, na opinião do especialista, não é se as empresas devem adotar esse padrão, mas quando. “Afinal, com o uso da IA, a gente consegue ajudar o negócio com mais eficiência, e não ficar tratando alerta, mas o business”, concluiu.
Quais os caminhos para a gestão de risco cibernético de fornecedores?
Estudo da IBM junto com a Microsoft feito no ano passado sobre os riscos de Supply Chain mostrou que o número médio de fornecedores diretos em uma empresa é 1.300. Se contabilizarmos os fornecedores indiretos, o número salta para cinco vezes mais. Combinados os números de fornecedores diretos e indiretos, fala-se de uma superfície de ataque massiva: pelo menos 7.700 vetores de ameaças potenciais em uma única empresa. E mais: estima-se que 36% das violações, agora, vem de fornecedores. E 41,4% dos ataques de ransomware da atualidade começam por meio de terceiros. Ou seja, tudo leva a crer que criminosos não estão invadindo, mas fazendo login com as credenciais de parceiros. Mas quais os caminhos para a gestão do risco cibernético de fornecedores?
Ticiano Benetti, CISO Global na Natura (que tem cerca de 16 mil fornecedores), disse que é preciso filtrar quais são os que realmente oferecem problemas para a sua empresa. Mesmo com um processo de gerenciamento maduro, a organização tem 55 anos de atividade e precisa fazer um trabalho tanto com os novos fornecedores como os mais antigos. “Imagine um salão enorme com uma torneira aberta e o chão todo molhado. Você tem dois problemas: secar o salão e fechar a torneira. Isso é gestão de fornecedores”, explicou.
Benetti disse que ele começou esse processo trabalhando para “fechar a torneira” para que o problema não aumentasse. A partir de uma parceria com a área de suprimentos – que domina o processo de onboarding –, os gestores cadastram cada novo fornecedor com as características do serviço, e o time de segurança avalia se há algum risco com cibersegurança. “Esse primeiro questionário oferece uma classificação básica, suficiente para entendermos o impacto em caso de um evento”, disse. Dependendo do Tier (sendo T1 crítico e T4 irrelevante), é solicitada uma análise de risco para mapear a maturidade dele em ciber.
“Quanto mais a gente desconfia e maior o impacto para cyber, o fornecedor ganha uma nota de risco. Se for muito elevado, ele é reprovado. Isso tudo é feito de forma automática”, enfatiza. Para o fornecedor que “sobrevive” é aplicado um monitoramento mais técnico. “O segredo é tentar filtrar, de tantos fornecedores, quais são os mais relevantes de verdade para nós. Quando você entra no começo do processo, melhora. Em um processo seletivo, saber que ele é de risco já elimina bastante vulnerabilidade como candidato a fornecedor”, afirmou.
O desafio maior é avaliar os fornecedores do legado, ou seja, que já prestam serviços, mas ainda não foram analisados. Dependendo do nível de criticidade, eles são mapeados e monitorados. Em situações mais críticas, são levados a um Programa de Desenvolvimento de Segurança Cibernética. Neste caso, faz-se um investimento com consultoria para ensinar ele a ter um ambiente mais seguro. “Precisamos reconhecer que nossa visão é limitada e a gente deve focar sempre para proteger o top line da empresa”, disse.
Cibersegurança e a interconectividade de riscos
O risco cibernético pode ser gatilho para muitos outros dentro das empresas: dispara o risco operacional, que dispara o reputacional, que dispara o risco financeiro. Ou seja, há uma incontestável interconectividade entre eles. Para compreender a visão da qual o CISO precisa para gerenciar riscos e ameaças das empresas, considerando, também, orçamentos e modelos de negócio, o Expand reuniu os painelistas, Luiz Lobo, Conselheiro da Caixa Econômica Federal e Lucy Engel, CISO na VIVO, com mediação do conselheiro de empresas, Nycholas Szucho.
Lobo começou a sua fala dizendo que cibersegurança ganhou mais visibilidade na agenda do Conselho. “Cinco anos atrás, era algo despercebido, mas agora estão vendo os ataques crescendo, os concorrentes sendo atacados. No entanto, essa interconexão de riscos ainda não é bem percebida”, refletiu. O conselheiro disse que sempre busca exemplos palpáveis para explicar essa relação de riscos, como a segurança de um prédio, em que cada elemento tem o seu papel (o muro, a câmera, o vigia, a biometria, entre outros) e, quando um falha, torna o local mais vulnerável.
A formação técnica e a experiência em diversas áreas fizeram que essa conexão fosse mais natural para Lucy. Para ela, essa interconectividade com o risco operacional e o impacto que cibersegurança causa acontece de forma mais fluida. Lucy acredita que o tema vem ganhando mais tração nos Conselhos. “É um processo que está evoluindo, percebe-se que as pessoas estão mais letradas”, disse.
“E como a área de risco pode ser um aliado dos CISOs? Como ganhar mais força com outras áreas?”, questionou Szucho. “Entendendo que estamos todos no mesmo barco”, respondeu Lobo. “Precisamos unir forças contra o mal, trabalhar alinhados de forma conjunta. A interconectividade dos riscos é muito importante: fraude, SI, risco operacional, controles internos, auditoria… Temos que antecipar os riscos, ser mais resilientes para o impacto ser o menor possível. Sair do gueto para trabalhar de maneira conjunta”, complementou.
Lucy não apenas concordou como afirmou que ter uma equipe com diversidade de expertise é um grande diferencial, e precisa ser aproveitado ao máximo. Para ela, quanto mais os profissionais colaboram entre si, mais enriquecedoras são as entregas. Lucy disse que também gosta do formato de squads, o que permite integrar diferentes áreas e competências. Apesar de ainda existirem silos organizacionais, as metodologias ágeis quebram essas barreiras, facilitando a troca entre especialistas, gerando uma visão mais ampla e estratégica, e entregando muito mais valor para o negócio.
Mas para que o board entenda essa necessidade é importante “falar a língua dele”, o que exige preparo. “Há pessoas que entendem, outras não. O simples fato de a gente ter alguém que apoia já facilita a vida. Eu me aproximo das pessoas que tinham mais interesse e curiosidade do tema e fazia reunião com elas posteriormente. Então, eu provia mais informações e percebi que foram mais receptivas”, confidenciou Lucy.
Já Lobo disse que o CISO precisa entender que ele não é inatingível. “O board está lá para ajudar, não atrapalhar. Viemos de áreas técnicas e precisamos investir em comunicação. Devemos evitar a ‘sopa de letras’ e abordar que você está ali para ajudar o negócio. Precisamos ser vendedores e convencê-los de forma didática e acessível”, finalizou.
BLACKOUT: uma simulação realista
Como em edições passadas, o Expand também teve o seu momento prático e interativo. Chamada de BlackOUT, a atividade consistiu em dividir os participantes em diferentes personas, em que cada um tinha uma função dentro da empresa fictícia (CEO, CISO, etc.), para tomar decisões, únicas ou em conjunto à medida que perguntas apareciam na tela.
O cenário? Um ataque cibernético a uma infraestrutura crítica que pausou completamente suas operações. Cada desafio tinha que ser solucionado em poucos minutos e a questão subsequente, gerada por IA, dava continuidade ao cenário, com benefícios de boas decisões e custos altíssimos das escolhas inadequadas.
A gameficação, desenvolvida pela Redbelt Security, trouxe, na prática, a importância de resolver os problemas o mais rápido possível e as consequências de uma decisão equivocada.
Do reativo ao autônomo
Com os adversários aproveitando a Inteligência Artificial para aprimorar ataques, os defensores enfrentam desafios sem precedentes. Mas, a IA não está apenas capacitando os invasores – ela também está emergindo como um aliado para os líderes de segurança. Ao longo de 15 anos em cargos de liderança no Google, Dan Walters atuou e está à frente da equipe que presta consultoria sobre o portfólio completo de segurança da big tech, incluindo as soluções de Operações e Inteligência em Segurança. No palco do Expand, ele traçou um panorama sobre as mudanças históricas desse contexto e o impacto para os executivos.
Inicialmente, Walters reconheceu que a IA ainda desperta a curiosidade de muita gente e todos querem saber mais sobre o potencial da tecnologia. Em um contexto de ciberataques complexos e volumosos, o especialista destacou que a IA é um aliado importante às ameaças que colocam em risco as organizações brasileiras. “O Brasil é um país enorme, por isso os números relacionados à segurança surpreendem”, disse.
Walters mostrou algumas características locais, destacando que a exploração de vulnerabilidade em sistemas, softwares ou hardwares são os principais vetores de ataques no Brasil, seguida de roubo de credenciais e phishing. Para ele, da mesma forma que é necessário manter os programas atualizados e corrigidos, é preciso priorizar a proteção de credenciais. “O Brasil é o país com o maior número de credenciais roubadas da América Latina, grande parte em função do tamanho da população e à presença digital”.
Na opinião de Walters, especula-se muito sobre a IA, especialmente o seu lado mais negativo, como a substituição da mão de obra humana por robôs, a extinção de empregos, deep fakes, mas pouco sobre como essa tecnologia pode potencializar a produtividade das pessoas. Para a cibersegurança, por exemplo, a tendência é que a IA seja usada como agentes que não fazem apenas o que você manda, mas descobrem o que deve ser feito para atingir um objetivo determinado e execute de forma autônoma, aprendendo ao longo do caminho.
“Um carro autônomo é um exemplo físico de um Agentic IA”, disse Walters. O especialista afirmou que a criação de um agente de IA na segurança é semelhante ao carro autônomo. No começo do desenvolvimento do carro, há pessoas dentro e fora supervisionando, anotando os erros, sugerindo melhorias até ele estar pronto para ser autônomo. É o mesmo que está acontecendo com a IA na área da Segurança da Informação.
Segundo o especialista, atualmente estamos em um modo semi-autônomo, em que a IA conduz a maioria das tarefas ao longo do ciclo de vida da segurança de forma consistente e eficaz, delegando tarefas que não consegue automatizar com confiança ou precisão suficientemente elevadas. O Model Context Protocol (MCP) é um padrão aberto projetado para conectar modelos de IA (como Gemini/Claude e GPT-4o) com fontes de dados e ferramentas externas. “É como fosse uma ‘porta USB-C’ para IA — fornecendo um mecanismo de conexão universal que simplifica a forma como os LLMs obtêm contexto, executam ações e interagem com vários sistemas”.
Walters também destacou que nem mesmo os cibercriminosos estão usando a IA como é dita por aí, a partir de uma análise do próprio Google. O especialista destacou que as medidas de segurança do Gemini foram eficazes na restrição de conteúdo que aprimoraria as capacidades dos adversários, além de não ter sido observado nenhuma tentativa original ou persistente de usar ataques rápidos ou outras ameaças focadas em aprendizado de máquina (ML).
“Não acredito que a IA reduzirá empregos, principalmente na cibersegurança, mas ela ajudará a responder com mais eficácia aos alertas realmente críticos. Vai nos fazer mais produtivos”, acalmou Walters. Para isso, o especialista enfatizou que é necessário desenvolver algumas habilidades, como aprimoramento dos conceitos básicos de LLMs; design de tarefas para agentes e definição de metas; compreensão de logs de agentes; e projeções de transferências claras entre tarefas humanas e de agentes.
João Carlos Martins: exemplo de resiliência e inspiração
Para finalizar, o Expand teve a honra de chamar ao palco o grande pianista e maestro João Carlos Martins, que alcançou um patamar raro para os músicos brasileiros no século XX: o de ser reconhecido e respeitado internacionalmente como um dos principais nomes da música clássica. O músico se apresentou no Carnegie Hall, em Nova York, por trinta vezes e é considerado o maior intérprete de Bach do mundo.
Durante a sua apresentação, o pianista contou a sua trajetória, intercalando histórias pessoais, conquistas profissionais e, claro, muita música. Martins emocionou o público em diversos momentos e provou que é um símbolo de resiliência e inspiração, encerrando o dia com uma experiência que certamente ficará marcada nos executivos presentes.