A Síndrome do Avestruz e a Cibersegurança

A Síndrome do Avestruz e a Cibersegurança

8 de abril de 2025

Halan Borges

A ostrich standing in the sand AI-generated content may be incorrect.

Ultimamente, tenho refletido muito sobre as novidades em Tecnologia e Cibersegurança que nos cercam. Aqui não me refiro aos HYPEs já conhecidos, como IA generativa e suas derivadas, automação ou metaverso… ops! Esse aqui foi colocado em modo hibernação junto com a pandemia. Em contrapartida meu olhar tem sido mais pragmático, voltado ao que está relacionado à tecnologia, cibersegurança e, principalmente, ao impacto que o comportamento humano tem causado na prática às organizações.

Mas vamos lá. Seja você gestor, decisor ou alguém que trabalha na entrega de serviços de tecnologia, te convido, se puder, a pegar sua bebida favorita e sentar aqui comigo rapidinho.

Vamos refletir sobre um comportamento muito comum diria até mais comum que filtro bonito no Instagram 🙂 a velha, mas nem tão boa assim, negação dos riscos cibernéticos.

Semana passada, participei de um evento sobre espiritualidade e, lá, pela primeira vez ouvi falar da Síndrome do Avestruz. Para quem não conhece, vou explicar: a síndrome do avestruz é uma metáfora que afirma que o avestruz enfia a cabeça na terra quando sente medo ou não quer ver algo evidente. O mais interessante é que essa fake news pegou, pois o avestruz não faz isso de verdade, mas a imagem viralizou e caiu tão bem que virou expressão popular para descrever quem prefere “enfiar a cabeça no buraco e fingir que o problema não existe”. Ah! Certamente você conhece alguém que faz vistas grossas para os riscos, não é?

A história sobre como tratamos os riscos cibernéticos vem se repetindo há um bom tempo e o que estamos vendo em 2024 e 2025, digo sem pudor é “mais do mesmo”.

Dados públicos apontam que o Brasil registrou mais de 350 bilhões de tentativas de ataques cibernéticos em 2024. Isso mesmo, BILHÕES. Quem está no dia-a-dia de cibersegurança sabe que, a cada segundo, há algum bot tentando invadir um sistema, descobrir uma senha fraca ou explorar uma vulnerabilidade esquecida em um servidor mal configurado. Em outras palavras: os hackers têm um exército em atividade constante buscando uma única brecha para tirar vantagem.

E mesmo diante desse cenário assombroso, sabe o que vejo?

Diversas empresas sem o be-a-bá da segurança. Começando pela ausência de um plano de resposta a incidentes testado e validado, com sistemas desatualizados com brechas conhecidas, falta de gestão de identidade com sistemas utilizando “admin” e senhas fracas em credenciais críticas, parece piada, mas não é. E como acontece há muito tempo, equipes de TI sobrecarregadas e sem especialização em segurança seguem como heróis, quebrando o galho como podem e na maioria dos casos sem suporte da gestão. Para literalmente fechar o caixão: RIP.

A fé que não protege! Já ouviu ou até mesmo disse: “Essa solução ou serviço não é prioridade agora?”

Conteúdo do artigo

Olhos fechados

E, como num filme de terror de Hollywood, aquele investimento em segurança só vira prioridade depois que o ataque acontece e o dano está feito. Com ele vêm o prejuízo, a quebra de reputação, o vazamento, a multa da LGPD e aquela dor de cabeça digna de virar case negativo no próximo evento de tecnologia. Alguém já viu esse filme?

Existe uma luz no fim do túnel, e como tudo na vida, há solução e o primeiro passo? Tirar a cabeça do buraco! Isso se aplica apenas para os avestruzes, é claro rs.

Na maioria das vezes, a negligência acontece por algumas razões conhecidas, mas combatidas por poucos:

  • Falta de conhecimento técnico sobre os riscos reais;
  • Medo de investir em algo que não aparece nem traz retorno visível imediato;
  • Prioridade para metas que ignoram a segurança como parte do negócio;
  • E a mais famosa de todas: a cultura reativa, aquela que só age depois da crise, depois que o leite foi derramado.

Resultado? Empresas vulneráveis que só percebem o tamanho do buraco depois de cair dentro dele. Bem pior que o avestruz, não é?

Vou usar o chavão: “O básico bem feito é perfeito.” E aqui vão alguns passos importantes, aplicáveis totalmente ou parcialmente a qualquer organização:

Gestão de riscos: a gestão que expõe, mas evita o prejuízo

Segurança cibernética não é só firewall e antivírus. É, principalmente, gestão de riscos, que envolve:

  • Identificar o que é crítico no seu ambiente;
  • Avaliar as ameaças reais (internas e externas) — spoiler: parceiros externos também podem expor o seu negócio;
  • Calcular o impacto que cada falha pode gerar (esse ponto deve ser levado à alta gestão);
  • E, o mais importante, agir com estratégia para priorizar e mitigar os riscos e suas probabilidades.

Essas ações reduzem a superfície de ataque, evitam prejuízo financeiro, perda de reputação e o estresse de uma equipe de TI após um ataque cibernético.

Pentests: “Conhece-te a ti mesmo”

Você faria uma reforma no seu apartamento sem testar a instalação elétrica antes? Então por que colocar um sistema novo em produção sem testar suas vulnerabilidades? pessoal de infra e cyber não venham colocar a culpa no DevOps, hein! temos e devemos ajudá-los!

É nesse contexto que os testes de penetração (ou pentests, pros íntimos) têm papel fundamental para:

  • Simular ataques reais, internos ou externos;
  • Descobrir falhas escondidas;
  • Mostrar o caminho que um hacker poderia usar;
  • E te dar o mapa da mina para corrigir antes do “leite derramar”.

O mais importante a saber que pentest não é “uma vez na vida e outra na morte”. Deve ser constante. Aqui trago o CTEM (Continuous Threat Exposure Management), uma abordagem moderna e necessária no mundo ágil do DevOps (e no melhor dos casos, DevSecOps). Porque o sistema muda, a equipe muda, as ameaças mudam… e os atacantes não tiram férias.

Encarando os fatos de cabeça erguida

  • 95% das violações de dados em 2024 foram causadas por erro humano;
  • 60% das pequenas empresas fecham até 6 meses depois de um ataque;
  • O tempo médio de detecção de uma invasão ainda ultrapassa 200 dias;

Ou seja: não é sobre se vai acontecer. É sobre quando e quão preparado você estará.

Agora, se você (ou seu gestor) ainda acha que não é tão grave assim…

…então pense no seguinte:

  • Você tem dados de clientes?
  • Processa pagamentos ou boletos?
  • Usa APIs?
  • Usa sistemas em nuvem?
  • Tem acesso remoto para times ou fornecedores?

Se respondeu “sim” para qualquer uma dessas, parabéns: sua empresa é um alvo.

Que as empresas tirem a cabeça do buraco!

Cibersegurança é parte integral do negócio. Não é custo. Não é “coisa do pessoal do TI”. Hoje, mais do que nunca, é estratégia de sobrevivência.

Se você quer que sua empresa sobreviva e cresça, atenda mais clientes, escale sua tecnologia com confiança e durma em paz à noite comece agora a levar segurança a sério.

E lembre-se: é melhor conhecer suas próprias vulnerabilidades do que ser surpreendido e ficar de mãos atadas da noite para o dia. Não acha?

Se quiser ajuda para desvendar o véu da segurança cibernética na sua empresa, é só chamar!

Deixe seus comentários e se gostou do artigo compartilhe em sua rede! Isso ajuda na divulgação da Digital News 360º 🙂

Até a próxima

Fraterno abraço

Halan Borges

#seguranca #cybersecurity #conscientizacao #ciscontrols #nist #eduka7 #segurancadigital #riscosciberneticos #grc #msp #drp #empreendedorismo #consultoria #educacaotech #servicosgerenciados

CyberMe - Security Solutions | © 2025 — Copyright

CyberME