Estamos chegando em períodos de alta demanda e picos de consumo, como a Black Friday e Natal. Há um conforto perigoso em classificar esses eventos como fenômenos meramente B2C. Esse conforto permite dizer ao time: “vamos reforçar a comunicação de phishing e dobrar a atenção”. É aí que o atacante agradece.
O verdadeiro risco para as empresas não vem dos e-mails óbvios de “70% OFF”. Ele surge de forma mais sutil: se materializa no clique do funcionário que, usando o perfil corporativo, busca uma oferta e acaba em um site que compromete sua identidade. Ou no analista financeiro que, sob pressão de prazo, abre uma fatura “reemitida pela promoção” que é um golpe. O problema não é a promoção em si; é a identidade digital. Hoje, ela é o que os criminosos buscam para acessar sessões, roubar tokens e usar permissões. Quem trata isso apenas como uma campanha de conscientização comum está perdendo o foco do que realmente importa: a identidade e o acesso.
A leitura exige outra lente: a da liderança. Esses picos de consumo não são um exercício de “técnicas de phishing cada vez mais elaboradas”; são um teste de governança. O “Novo CISO”, capaz de liderar a convergência entre Cyber, Fraude e Risco, decide o desfecho não com apresentações, mas com ações para travar processos quando o sinal é ambíguo. Períodos críticos não perdoam indecisos.
Organizações maduras falham nestes períodos por um motivo simples: encaram a situação como “campanha” e não como mudança temporária de modelo de risco. Campanha pede cartaz. Mudança de risco pede ação. Entre incomodar um pouco a operação por algumas semanas e explicar, depois, um prejuízo com BEC e uma auditoria em SaaS… o caminho politicamente palatável costuma vencer. Até não vencer mais.
O problema raramente é só o malware
É tentador falar apenas do atacante. O estrago também vem do que quase não se debate internamente: o navegador corporativo que sincroniza senha pessoal, o SSO que confere confiança a dispositivos fora do seu perímetro, a complacência com consentimentos, porque “é só produtividade”. O atacante não precisa vencer o EDR; ele precisa parecer você no lugar certo, na hora certa.
Insistir em “bloquear tudo” no período é receita de sabotagem interna. O que funciona é mais prosaico, e político. Separar perfis de navegador de verdade (e parar de fingir que isso existe se o cookie de sessão corporativa convive com o clube de milhas), aplicar MFA onde dói no bolso (ERP e pagamentos) e agir sem cerimônia quando um novo app de consentimento pede “offline_access” para ler e enviar e-mails de contas financeiras. Nada disso exige uma nova plataforma; exige priorizar o impacto de negócio sobre conveniências locais. Isso é convergência de Cyber, Fraude e Risco na prática.
Onde, de fato, as empresas sangram
Fraude operacional não nasce de uma APT brilhante. Nasce da inserção no fluxo entre Contas a Pagar e o fornecedor “de sempre”. Com uma sessão sequestrada, o invasor lê conversas, aprende jargões, descobre calendários e replica exatamente a linguagem do seu processo. Altera dados bancários, “reenvia” fatura com justificativa plausível, cria urgência e coleta. No relatório de incidente, nada de surpreendente: apenas o resultado de várias falhas que viraram perda financeira.
Esse é o ponto em que o “Novo CISO” precisa que o SOC deixe de ser um agregador de alarmes e assuma a lógica de Fusion Center:
Do SOC que só Junta Alertas para um Centro de Operações Integrado: É fundamental que o SOC (Centro de Operações de Segurança) deixe de ser um simples juntador de alertas e passe a funcionar como um Fusion Center, como o Scunna CDC. Sinais técnicos (nova permissão em conta importante, regra de e-mail criada, acesso a sites recém-registrados) precisam acionar pessoas da empresa com poder de bloquear pagamentos, congelar cadastros e cancelar acessos. SOCs ainda erram ao tratar indicadores técnicos como o objetivo final, ignorando sinais do processo de negócio. Se o seu sistema de monitoramento não avisa quando um aplicativo com permissão para ler e-mails e acessar offline é aceito por uma equipe financeira, você foca no fácil, não no importante.
Proteção de Identidades e Dados: A segurança da rede, com sistemas de prevenção de invasões (IPS), firewalls de aplicativos (WAF) e, muito importante, segurança para navegação na internet e e-mail, deve ser uma proteção forte, trabalhando junto com a proteção de dados (DLP). O foco deve ser evitar que um clique errado vire controle de um acesso legítimo ou roubo de informações.
Gestão de Acessos Privilegiados (PAM) não é só uma ferramenta técnica; é uma forma de mostrar onde está o risco. Ela garante que um ataque inicial, mesmo que comprometa um usuário comum, não leve a um avanço completo do ataque. Sem PAM, a fraude é apenas questão de tempo.
Em vez de reagir a cada nova falha, o Novo CISO usa a Gestão Contínua de Exposição a Ameaças (CTEM). Isso significa identificar, avaliar e resolver de forma antecipada as brechas antes que elas virem o próximo caminho para um ataque de phishing. É uma abordagem que transforma o risco de ser atacado para um risco que se gerencia de forma ativa.
Pessoas: Não Apenas Conscientização, mas Poder de Ação: A conscientização não é um slide de PowerPoint. É um treinamento contínuo e que faz sentido para a realidade. Mas, mais do que isso, é a vontade de aplicar medidas temporárias que incomodam um pouco para proteger muito, com regras claras para exceções e um registro de cada decisão.
O Que Fazer Sem Pedir Desculpas:
Se a pergunta é “o que muda em épocas de alta demanda?”, a resposta é: mude, por tempo limitado, com regras claras para exceções e um registro de cada decisão.
- Bloquear o acesso a sites recém-registrados por padrão. Podem ocorrer alguns erros; exceções devem existir, com motivo e tempo de validade. É um custo controlado para diminuir a chance do atacante ter sucesso.
- Exigir MFA (autenticação multifator) para ações financeiras importantes. Isso pode incomodar, mas reduz muito o risco de transferências fraudulentas.
- Congelar mudanças de cadastro de fornecedores em períodos críticos. É menos flexível, mas mais seguro, e tem data para acabar.
- Cancelar automaticamente permissões fora de política em contas privilegiadas. É melhor incomodar antes do ataque do que ter que consertar depois.
- Tratar o navegador como ativo financeiro: perfis separados, extensões aprovadas, proteção de cookies e acessos. Enquanto isso for “nice to have”, você vai continuar explicando fraudes como se fosse azar.
Estas não são apenas decisões técnicas; são decisões sobre risco. Sem um CISO com poder para unir as áreas e agir, elas viram apenas “sugestões”.
Métrica que importa (e a que você deve ignorar)
Reduzir cliques em simulação é métrica de vaidade. Em períodos de alta demanda, meça o que dói no adversário e no fluxo de fraude:
- Permissões suspeitas bloqueadas/canceladas e o tempo para fazer isso.
- Tentativas de mudança bancária barradas por validação extra.
- Instalações de programas de acesso remoto ou utilitários falsos impedidas por uma lista de programas permitidos.
- Sessões/tokens invalidados após sinais de roubo de informações em endpoints relevantes.
Sem essas respostas, o problema não é a comunicação; é a falta de capacidade operacional — e de alinhamento com as áreas de Fraude e Risco para agir rápido.
“Mas vamos quebrar o negócio…”
Esse é o argumento preferido de quem confunde proteção com paralisia. Ninguém está propondo um bloqueio total da tecnologia. Estamos falando de medidas restritivas temporárias, claras, com começo, meio e fim. É um pacto: a empresa aceita um desconforto passageiro; em troca, diminui a chance de ter que explicar ao conselho por que um processo simples causou uma perda financeira.
Se a equipe não consegue voltar ao normal depois, o problema é de governança, e é melhor descobrir isso agora, com controles temporários, do que diante de uma exigência regulatória.
O que sobra quando baixa a poeira
Chamar períodos de pico de consumo, como a Black Friday, de “assunto de consumidor” é buscar o conforto de um rótulo em vez de encarar o risco real. No terreno corporativo, essas épocas aumentam a chance de sucesso dos ataques, facilita o primeiro acesso e esconde a fraude nos processos. Trate-as como aquilo que é: um período em que identidades valem mais que endpoints, navegadores são mais importantes que firewalls, e as decisões operacionais pesam mais que discursos.
A diferença entre “campanha” e “postura” está na liderança. O Novo CISO, ao liderar a convergência entre Cyber, Fraude e Risco, transforma um sinal técnico em decisão de negócio: bloqueia domínios recém-registrados apesar da pressão, impõe MFA onde importa, congela alterações críticas e revoga consentimentos fora de política sem cerimônia. Menos cartaz, mais ação. Menos “conscientização para todos”, mais processos seguros para quem move dinheiro e dados. E, principalmente, a disposição de bancar medidas temporárias que desagradam, porque o adversário, esse, não espera a aprovação do comitê.
Na Scunna, entendemos que o sucesso da defesa da empresa está nessa visão unificada e firme. Nossas soluções não são apenas ferramentas; são a estrutura que dá ao CISO o poder de proteger a empresa por completo, transformando desafios complexos em segurança sólida e uma vantagem competitiva. A verdadeira segurança nas empresas começa não com o clique do consumidor, mas com a decisão estratégica do Novo CISO de encarar a realidade e agir antes.
