Ao longo dos dias 16, 17 e 18 deste mês, mais de 16 mil profissionais de segurança da informação, privacidade e compliance se reuniram na capital paulista para discutir as mais recentes tendências e os mais perturbadores desafios que rondam o setor. O Mind The Sec 2025, que ficou marcado como 11ª edição do evento que é considerado o maior e mais qualificado desse segmento, impressionou pela quantidade de discussões de alto valor.
Gratificada como keynote speaker do primeiro dia de conferência, Paula Januszkiewicz, CEO da CQURE, abalou o público com diversas demonstrações rápidas sobre o quão fácil os atores maliciosos conseguem burlar ferramentas de segurança e realizar ataques utilizando metodologias simples — seja para criar um usuário altamente privilegiado dentro de um ambiente corporativo ou exfiltrar credenciais de colaboradores.
“Será que as soluções que vocês pagam estão funcionando corretamente? Quantas vezes vemos soluções que não são adequadas para a infraestrutura de uma empresa?”, questiona, ressaltando a importância de analisar indicadores de diferentes fontes para garantir que as ferramentas estejam sendo usadas da maneira mais eficiente — além de, claro, sempre otimizar as habilidades do time e tomar cuidado com aplicações legadas.
Não há dúvidas de que um stack tecnológico de respeito e devidamente configurado é algo excelente, mas como os especialistas em SI podem se comunicar com o board para garantir a aprovação do orçamento necessário para tais investimentos? Segundo Allan Costa, VP de relações institucionais da ISH, “muitas organizações confundem ter ferramentas com maturidade”, algo que seria equivalente a “confundir ter um carro com saber dirigir”.
Com a assustadora estatística de que apenas 8% das empresas brasileiras atinge os níveis 4 e 5 (os mais altos) de maturidade em cibersegurança, o executivo aponta que é comum ver profissionais acreditando que seus ambientes estão maduros por simplesmente possuírem produtos de proteção operando sem estratégia alguma e sem qualquer métrica consistente para mensurar sua efetividade.
Para Allan, a maior dificuldade está em um problema antigo, mas ainda presente: a dificuldade de comunicação entre a área técnica e o board. Para o especialista, falta tato por parte dos profissionais para aprender, compreender e aplicar os conceitos de segurança cibernética à linguagem econômica e operacional dos negócios, traduzindo os benefícios e demonstrando o custo de não investir.
“Não adianta dizer ‘nosso SOC monitora 24/7’ ou ‘implementamos uma arquitetura zero trust’. E daí? O que funciona são coisas como ‘reduzimos em 60% o tempo de exposição a incidentes’, evitamos R$ 2,3 milhões em perdas potenciais este ano ou ‘garantimos compliance para 95% das auditorias’. Essa é a linguagem do board, e são essas as informações que importam”, explica.
Por fim, Allan ressalta que existem diversos indicadores valiosíssimos e que pouquíssimos profissionais do mercado utilizam, como o Return on Security Investment (Retorno sobre o Investimento em Segurança ou ROSI), Cyber Value at Risk (Valor Cibernético em Risco ou CVaR) e Cost of Cyber Downtime (Custo de Inatividade Cibernética).
Como não poderia deixar de ser, o uso da inteligência artificial — tanto para fins benignos quanto malignos — também foi uma pauta recorrente ao longo do evento. Enquanto executivos discutiram em painéis sobre boas práticas de adoção da IA para a tomada de decisões críticas na defesa de ambientes corporativos, pesquisadores demonstraram de maneira prática como a aprendizagem de máquina está sendo incorporada ao cibercrime.
O youtuber e influenciador Gabriel Pato, por exemplo, chocou o público ao utilizar uma apresentação de slides feita pelo ChatGPT — a famosa ferramenta gratuita foi utilizada pelo hacker ético para, antes de mais nada, criar uma pequena biografia bastante natural e acertada sobre si próprio. Em seguida, Pato pontuou como essas plataformas estão se tornando capazes de escalonar campanhas de phishing direcionado.
“É como se fosse um spear phishing 2.0, totalmente personalizado para cada pessoa que vai ler”, explica. Graças a protocolos de última geração como o Model Context Protocol (MCP) e técnicas como o Retrieval Augmented Generation (RAG), as ferramentas de IA são capazes de juntar pequenos dados e citações sobre uma pessoa e montar uma armadilha de engenharia social bem mais convincente e de baixo custo do que as feitas manualmente.
A cultura do cibercrime
Todas essas “facilidades” de se praticar um crime cibernético, em conjunto com questões socioeconômicas que já discutimos aqui no blog, criaram o que Lais Camargo chama de uma verdadeira “cultura do cibercrime”. Analista de inteligência digital na Arco Educação, Lais tem estudado como os incentivos das facções criminosas de grande porte estão literalmente capacitando indivíduos para atuarem com golpes online.
“[O cibercrime] virou uma cultura própria, com jargões, associação com religiões, os ganhos ilícitos são até vistos como uma provisão divina”, pontua a pesquisadora. Para Lais, o que atrai mais pessoas para esse cenário é o baixo risco de exposição física em comparação com métodos, digamos, “tradicionais” de se cometer atos ilícitos. “O crime não deixou de existir. Ele só trocou a arma pelo smartphone”, finaliza.
Estes foram apenas alguns dos destaques do Mind The Sec 2025, que contou com a presença da Eskive como patrocinadora e expositora. Pela primeira vez, demonstramos ao público a nossa nova estratégia de conscientização e redução do risco humano, consolidando assim a nova fase Eskive 3.0. A participação contou com ativações diversas, distribuição de brindes e interação com milhares de congressistas!
Continue acompanhando o nosso blog para conferir também tudo o que a nossa CEO, Priscila Meyer, falou no palco do evento e entender as complexas discussões a respeito da segurança do Pix.