Segurança 360: O que aprendi nos últimos anos

20-08-2025

Talvez esse texto não seja para você….

Mas resolvi registrar o que aprendi nos últimos anos em relação à minha visão sobre segurança da informação no ambiente corporativo. É apenas uma perspectiva particular, baseada em experiências, estudos e aprendizados desse período.

Spoiler Alert!
It’s all about communication.

Segurança 360: O que aprendi nos últimos anos

  1. Segurança além da tecnologia.
    Quando falamos de segurança da informação, não se trata de um processo isolado — é apenas a ponta do iceberg. Uma boa gestão de segurança se sustenta em conhecimentos que atravessam todos os processos de um organismo.

    Por muitos anos colaborei diretamente com a área técnica, análise e desenvolvimento, onde naturalmente migrei o foco para segurança da informação, já que minha base fundamental estava alinhada dessa forma.

    Com o tempo, percebi que muitas falhas que eu gerenciava eram consequência de causas em outros processos ou áreas. A necessidade de uma visão além da tecnologia ficou cada vez mais clara e óbvia.

    Além disso, o mercado também passou a ser mais exigente: a conscientização aumentou, as ameaças externas se intensificaram, notícias ganharam grandes mídias, os dados pessoais ganharam valor e a LGPD amadureceu.

    Meu principal aprendizado começa aqui: segurança da informação vai muito além da tecnologia.

  2. O organismo é tão seguro quanto seu elo mais fraco
    A jornada continua quando aceitamos que a superfície de ataque se estende a todos os processos. Assim como a água procura o caminho de menor resistência, a exploração de vulnerabilidades quase sempre acontece pelo elo mais fraco: falhas humanas ou persuasão.

    Ter uma visão 360 torna claro que é preciso proteger o organismo como um todo. Existem oportunidades (e riscos) em todos os processos. A tecnologia ajuda, mas sozinha não resolve.

  3. O diabo está onde não há glamour.
    Quando as soluções técnicas estão mais maduras e resistentes, os atacantes buscam brechas em processos burocráticos, legais ou contratuais — justamente aqueles com pouca avaliação crítica e pouca atenção.

    Áreas como RH, suporte, comercial ou vendas, muitas vezes esquecidas quando se pensa em superfície de ataque, tornam-se alvos fáceis. Com a evolução da consciência tecnológica, esses setores acabam sendo portas de entrada rápidas para fraudes, roubo de informações ou credenciais.

  4. Habilidades
    A comunicação talvez seja a habilidade mais importante e a mais subestimada. Para promover melhorias, é preciso entender pessoas e processos, negociar, fazer política, ter paciência, construir alianças e trazer as pessoas para “jogar junto”.

    Passei a valorizar muito mais as soft skills do que as hard skills. Conhecimento técnico se aprende com relativa facilidade hoje em dia. Já postura, comprometimento e comunicação dependem de iniciativa pessoal.

    Isso influencia diretamente o sucesso da implantação e manutenção de processos de segurança.

  5. Desafios
    O desafio é muito maior do que eu imaginava no início. Às vezes é frustrante. Às vezes empolgante. No meio do caminho eu rio, choro, já pensei em desistir, mas também já tive vontade de dominar o mundo.

    As demandas parecem infinitas, e para sobreviver tive que aprender a priorizar e aceitar que não será possível atender todas as necessidades.

    Se você não sabe o que não sabe, corre o risco de cair na armadilha da arrogância e achar que está tudo seguro. Aprendi (e sigo aprendendo) que não há milagre: é diálogo, é puxar a cadeira, observar atividades, aprender a fazer as perguntas certas. Esse talvez seja o maior desafio — mas também o diferencial na identificação de riscos críticos.

    Novamente, comunicação. A mensagem precisa ser ajustada ao público: o que se apresenta à alta direção não é o mesmo que se apresenta ao RH, ao administrativo ou ao time de desenvolvimento.

  6. Gerenciamento e priorização
    Precisei aprender a entender o que gera mais valor e classificar para direcionar os esforços, que são limitados, ao que é mais importante e traz melhor impacto.

    Outras métodologias já aplicam isso, por exemplo o SCRUM com a ideia do 80/20.

    Organização e documentação de forma transparente é importante para minimizar pontos cegos e a manter o foco nas atividades com maior valor.

  7. ISO 27001 e outros frameworks
    Frameworks de apoio sempre ajudam. São ótimos para cobrir pontos desconhecidos ou pouco familiares.

    Boas práticas documentadas em referências como ISO, OWASP, NIST oferecem direcionamento sólido e evitam armadilhas de tomar decisões na base do “achismo”.

Segurança é um processo, é cíclico.
Não é um produto.