A cibersegurança está falhando: por que os resultados não estão melhorando e o que precisa mudar.

“A cibersegurança está fundamentalmente, fundamentalmente e sistemicamente falha.”

Essa foi a declaração inicial de Andrew Rubin, fundador e CEO da Illumio, em um painel de discussão lotado na RSAC 2026.

A verdadeira surpresa? Alguns dos principais especialistas em segurança cibernética da atualidade — um ex-CIO da Casa Branca, o chefe de inteligência de ameaças da Microsoft, o CISO da SolarWinds e o diretor de segurança de uma das maiores instituições financeiras do Reino Unido — concordaram com ele.

Na última década, a cibersegurança tornou-se uma das funções com maior investimento financeiro nas empresas. As equipes cresceram, as ferramentas amadureceram e novas categorias surgiram para resolver problemas cada vez mais específicos.  

Em teoria, deveria funcionar.

Mas os resultados contam uma história diferente. As violações de segurança não estão diminuindo. Estão se tornando maiores, mais complexos e mais caros de se recuperar, muitas vezes se espalhando rapidamente por ambientes que antes eram considerados seguros.

O painel "Verdades Incômodas em Segurança Cibernética: Medo, Responsabilidade e as Maiores Mentiras do Setor" lotou um salão de baile no Hyatt Regency, no bairro de SOMA, em São Francisco. Juntamente com Rubin, participaram David Boda, da Nationwide Building Society, Tim Brown, da SolarWinds, Sherrod DeGrippo, da Microsoft, e Theresa Payton, ex-CIO da Casa Branca.

O que ficou claro é que, embora o setor não tenha ficado parado, também não houve mudanças nos resultados. E solucionar isso exige repensar como medimos o sucesso, como avaliamos o risco e como limitamos o impacto das inevitáveis violações.

Os quatro pontos principais apresentados no painel mostram por que o modelo atual não está funcionando e por que a contenção, e não apenas a prevenção, precisa se tornar central para uma estratégia de segurança moderna.

1. Estamos medindo as coisas erradas e chamando isso de progresso.

Os participantes do painel concordaram que a segurança cibernética não tem enfrentado dificuldades por falta de esforço, mas sim porque o setor tem otimizado resultados equivocados.

Tim Brown descreveu como as organizações definem maturidade hoje em dia.

“A maturidade muitas vezes é medida em termos de atividade, em vez de redução da superfície de ameaça”, disse ele.  

Essa distinção acarreta consequências reais.

As equipes de segurança estão sempre ocupadas. Eles implementam controles e seguem estruturas preestabelecidas. Os painéis de controle se enchem de alertas que levam a investigações. Para a diretoria, pode parecer um progresso constante.

Mas as violações de segurança não acontecem em painéis de controle. Elas ocorrem nas lacunas entre os controles e nas suposições que as equipes fazem sobre a cobertura. É a diferença entre cumprir uma formalidade e realmente reduzir a exposição.

Brown também apontou a conformidade como algo que pode reforçar silenciosamente esse problema. Estruturas trazem organização, mas também podem gerar uma falsa sensação de segurança.

As organizações cumprem os requisitos, passam pela auditoria e ainda assim se deparam com incidentes que esses mesmos controles deveriam ter resolvido.

É aqui que a conversa começa a mudar para a contenção da violação. Se o sucesso significasse apenas impedir todos os ataques, então cada violação pareceria um fracasso. Mas se o sucesso inclui limitar as consequências das violações de segurança, o foco passa a ser reduzir o alcance do ataque e os danos que ele pode causar.

2. A cibersegurança ainda trata o risco como algo binário. A realidade não é assim.

Rubin abordou um problema mais profundo: a cibersegurança ainda trata os resultados como binários. Ou você está seguro ou sua segurança foi comprometida.

Na maioria das disciplinas, o risco se apresenta como um espectro. Os problemas são classificados e as respostas são dimensionadas de acordo com a gravidade.

Rubin usou a analogia de que, se um médico lhe disser que você está resfriado, você não presume o pior. Você se recupera e segue em frente. Mas se o diagnóstico for mais grave, sua reação também se torna mais séria.

A área da cibersegurança ainda não adotou completamente essa mentalidade. As estratégias ainda tendem a girar em torno da tentativa de eliminar todos os riscos, embora isso não seja possível no cenário de ameaças atual.

David Boda abordou isso sob a perspectiva da resiliência cibernética.

“Nem sempre conseguimos garantir a segurança”, disse ele. “Estamos a desenvolver a nossa capacidade de sermos resilientes face às ameaças que surgem.”

Uma mudança em direção à resiliência altera a forma como as organizações se preparam. Isso leva à criação de sistemas capazes de absorver perturbações sem permitir que elas se espalhem sem controle. Isso também se alinha estreitamente com as estratégias de contenção, cujo objetivo é manter os incidentes pequenos e controlados, em vez de permitir que se agravem.

3. Não é possível proteger tudo, e isso deve nortear sua estratégia de segurança cibernética.

A ex-CIO da Casa Branca, Theresa Payton, trouxe uma perspectiva moldada pela experiência em ambientes onde os riscos são imediatos e inevitáveis.

Na Casa Branca, a proteção de cibersegurança não é aplicada de forma uniforme a todos os ativos, porque isso não é possível.

“É impossível proteger tudo”, disse ela.  

Essa restrição exige clareza. As equipes precisam decidir o que é mais importante e concentrar seus esforços de acordo com isso.

Payton descreveu, em termos práticos, como as organizações precisam identificar e classificar seus ativos mais críticos. Isso pode incluir exposição regulatória, confiança do cliente ou dados proprietários.  

Cada organização define sua própria versão do que é mais importante, mas o exercício de priorizar é essencial.

Isso é mais fácil dizer do que fazer. Muitas organizações ainda não têm visibilidade completa de seus ambientes. Payton comparou a situação à "busca do Santo Graal pelos Monty Python". A situação provocou risos durante o painel, mas também ressaltou o verdadeiro desafio de que, sem visibilidade, a priorização se torna um palpite.

Quando as equipes têm clareza, isso muda a forma como elas abordam a arquitetura de segurança. Eles podem isolar sistemas críticos, restringir vias de comunicação e controlar o acesso de forma rigorosa. Se algo der errado, as consequências permanecem contidas.

Essa é uma abordagem muito diferente de tentar aplicar o mesmo nível de proteção em todos os lugares.

4. A IA está acelerando a vantagem dos atacantes.

A inteligência artificial surgiu como uma força imediata que molda o cenário de ameaças.

Sherrod DeGrippo descreveu como essa mudança poderia ser:

“Acredito que veremos em breve o surgimento do agente de ameaça unicórnio — um agente de ameaça de nível máximo que possui uma capacidade incrível, sendo composto apenas por um indivíduo.”

A ideia dela reflete a rapidez com que as capacidades estão sendo ampliadas. Tarefas que antes exigiam equipes coordenadas agora podem ser realizadas por indivíduos usando automação e ferramentas baseadas em IA. A barreira de entrada continua a diminuir, enquanto o impacto potencial continua a aumentar.

Tim Brown relacionou essa mudança a algo mais fundamental: os incentivos.

“Você ainda pode ganhar muito dinheiro e não ir para a cadeia”, disse ele.  

Essa dinâmica não mudou. Os atacantes ainda têm forte motivação financeira e consequências limitadas. O que mudou foi a velocidade, a escala e a persistência que eles podem imprimir a um ataque.

Brown descreveu como a IA possibilita campanhas de longo prazo e com pacientes, que não dependem de resultados rápidos. Esses ataques podem observar os sistemas ao longo do tempo, adaptar sua abordagem e atacar quando a oportunidade for propícia.

Isso cria um tipo diferente de pressão para os defensores. A detecção continua sendo importante, mas já não é suficiente. Os líderes precisam refletir cuidadosamente sobre o que acontece depois que um invasor obtém acesso e até onde esse acesso pode se estender.

A segurança cibernética está comprometida — e agora?

O painel "Verdades Difíceis" ofereceu uma visão mais clara de onde a indústria cibernética se encontra e para onde precisa ir.

O modelo atual não está mudando os resultados. Mais ferramentas e mais atividades não reduziram o impacto geral das violações de segurança. A IA está adicionando velocidade e escala a um problema que já era difícil.

O que ficou mais claro é que a cibersegurança precisa evoluir na forma como define o sucesso. O sucesso inclui a capacidade de resistir a ataques e continuar operando. Significa também limitar a propagação de um incidente e proteger o que é mais importante.

É aí que a contenção de violações desempenha um papel central. Funciona em conjunto com a prevenção e a detecção, moldando o que acontece depois que um invasor consegue entrar.

A segurança cibernética não melhora se continuarmos no mesmo caminho. A situação muda quando as organizações param de medir a atividade e começam a medir o impacto — e quando a contenção se torna tão importante quanto a prevenção.

Aprenda como Illumio contém violações Para impedir movimentos laterais e neutralizar ataques rapidamente.