Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética

De “Você está protegido?” para “Você consegue operar?” Por que os órgãos reguladores querem resiliência, e não apenas controles?

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
Fevereiro 25, 2026
23 minutos. ler
Retrato de Phil Park
Phil Park, Líder de Segurança Cibernética em Serviços Financeiros da IBM

Durante anos, as instituições financeiras se prepararam para as auditorias de supervisão da mesma forma que os alunos se preparam para os exames. As equipes reuniram documentos, mapearam controles para estruturas e verificaram cada item da lista.

Os reguladores fizeram uma pergunta simples: você está protegido?

Em minha conversa recente com Phil Park, essa pergunta pareceu-me ultrapassada.

Phil presta consultoria a instituições financeiras em questões de segurança cibernética e riscos regulatórios há mais de 25 anos. Ele trabalhou com clientes durante os primeiros anos da Lei Sarbanes-Oxley e agora os orienta em relação a mandatos globais de resiliência operacional.  

Em sua função atual na IBM, ele presta suporte a grandes bancos nos EUA, Europa e Ásia, auxiliando-os a lidar com a pressão regulatória e os riscos das novas tecnologias.

Ele observou as expectativas mudarem ao longo do tempo. Ele acredita que agora estamos diante de uma clara virada.

Os supervisores globais já não se concentram apenas nas verificações de controlo. Eles esperam resiliência operacional. Os órgãos reguladores não se contentam apenas com a comprovação da existência de políticas e salvaguardas. Eles querem provas de que você consegue absorver interrupções, conter incidentes e manter os serviços críticos em funcionamento sob pressão.

Como Phil explicou, o sucesso não significa mais passar por uma auditoria. Significa que sua empresa continua funcionando mesmo quando os controles falham.

O fim da era das listas de verificação de conformidade.

Há dez ou quinze anos, a maioria dos programas de cibersegurança e de gestão de riscos operacionais focava na cobertura de controles. Se sua equipe demonstrasse que as medidas de segurança estavam em vigor, que as políticas eram claras e que o programa era consolidado, os órgãos reguladores considerariam sua equipe preparada.

Com o tempo, esse padrão mudou. Os reguladores observaram o desenrolar de incidentes reais e constataram que os controles em papel frequentemente falham sob pressão.

“A maior mudança foi a transição da pergunta 'Estamos protegidos?' para 'Podemos operar em meio a interrupções?'”, disse Phil.

Criminosos atacaram o setor financeiro com ransomware, interrupções em serviços de terceiros, configurações incorretas na nuvem e comprometimento da cadeia de suprimentos. Muitas instituições afetadas cumpriram os requisitos de conformidade. Eles passaram pelas auditorias e cumpriram todos os requisitos.

Os serviços continuaram apresentando falhas. Os clientes sentiram a perturbação e os acionistas perderam a confiança.

Esses eventos remodelaram as expectativas regulatórias. Estruturas como a Lei de Resiliência Operacional Digital (DORA, na sigla em inglês) partem do pressuposto de que incidentes cibernéticos irão ocorrer. Os órgãos reguladores já não questionam se é possível prevenir ataques na teoria. Eles perguntam se você consegue demonstrar resiliência na prática.

Phil descreveu essa mudança como uma transição da avaliação estática para a avaliação dinâmica. Os órgãos reguladores agora olham além da mera presença de controles. Eles examinam como os controles funcionam em cenários reais e como os líderes agem quando os sistemas falham.

Quando a disrupção acontece, a tecnologia não é o único teste.

Phil deixou uma coisa bem clara. Os órgãos reguladores modernos vão além dos controles técnicos.

“Os órgãos reguladores estão menos atentos à perfeição porque sabem que ela é impossível”, disse Phil. “O que mais importa para eles é a qualidade da resposta quando algo dá errado.”

Quando ocorre um incidente, os reguladores estudam como você reage em tempo real. Eles examinam:

  • Com que rapidez e clareza as equipes reportam o problema?
  • Se os líderes seniores estão alinhados em relação às decisões importantes.
  • Se os silos atrasam a coordenação
  • Quão bem você se comunica com os órgãos reguladores, clientes e o conselho de administração?
  • Se você entende as dependências críticas de serviço

A resiliência não depende apenas de firewalls ou ferramentas de detecção. Isso se reflete na forma como sua empresa age durante um incidente de segurança.

Você pode ter um plano detalhado de resposta a incidentes. Mas as brechas aparecem rapidamente se uma única pessoa controla a escalada do problema.  

Os problemas aumentam se as equipes jurídicas e de segurança entrarem em conflito durante uma crise. Os atrasos aumentam quando as equipes discutem sobre os níveis de gravidade em vez de agir.

Os órgãos reguladores já não esperam perfeição. Eles sabem que violações de segurança irão ocorrer. O que eles avaliam é o seu desempenho sob pressão.

O escrutínio regulatório está mudando de foco, passando dos controles para os resultados.

Na era anterior, impulsionada pela conformidade, a narrativa tinha peso. Se você descrevesse seus controles de segurança de forma clara e demonstrasse uma governança estruturada, os órgãos reguladores geralmente ficavam satisfeitos.

Esse padrão mudou.

“A maior lacuna que vejo é que muitas empresas dependem de estruturas e mapas de calor, enquanto os supervisores regulatórios querem ver ação e resultados”, disse Phil.

Ele enfatizou que as evidências agora superam as explicações. Os supervisores solicitam que você forneça provas concretas, incluindo:

  • Resultados de testes de cenário e exercícios de simulação
  • Registros de interrupções anteriores e das medidas que você tomou para solucioná-las.
  • Comprovação de que os processos de failover funcionam conforme o esperado.
  • Rastreabilidade em tempo real entre serviços críticos e os sistemas que os suportam.

Você não pode mais afirmar que existe um plano. Você deve demonstrar que testou e aprimorou o produto com base nas lições aprendidas.

Na prática, exercícios realistas expõem muitas lacunas de resiliência. As suposições falham. Os mapas de serviço omitem dependências importantes. Os caminhos de escalonamento revelam gargalos na tomada de decisões.

Os órgãos reguladores costumam ver essas descobertas como sinais de maturidade, e não de fraqueza. Eles esperam que você admita as falhas e as corrija rapidamente.

A carga de relatórios está aumentando e se tornando mais rápida.

Além de fortalecer a resiliência operacional, você deve reportar incidentes de segurança.

Nos Estados Unidos, as instituições financeiras respondem aos reguladores bancários federais, às autoridades estaduais, às normas de divulgação da Comissão de Valores Mobiliários (SEC) e às diretrizes do setor. Na Europa, a DORA estabelece prazos rigorosos para a comunicação de incidentes graves nas áreas das tecnologias de informação e comunicação (TIC).

Você não pode esperar que uma crise aconteça para planejar sua resposta. É fundamental integrar a geração de relatórios à governança, aos fluxos de trabalho e aos canais de escalonamento antes que um incidente ocorra.

Organizações que lidam bem com isso criam manuais de relatórios claros. Eles testam protocolos de comunicação e mantêm a documentação de fácil acesso. Eles coordenam as equipes jurídicas, de segurança cibernética, de conformidade e de gestão de riscos sem atrasos ou confusão.

Não é possível coletar informações no meio de um incidente em andamento e esperar precisão. Os órgãos reguladores esperam relatórios rápidos, consistentes e precisos. Eles também esperam que sua conta permaneça alinhada em todas as jurisdições, mesmo quando várias autoridades revisam o mesmo evento.

IA: novas ferramentas, mesma disciplina

A IA adiciona novos riscos aos ambientes modernos.

Os agentes maliciosos já utilizam IA para criar campanhas de engenharia social mais convincentes e automatizar malware em larga escala. Ao mesmo tempo, muitas organizações incorporam agentes de IA em operações comerciais críticas.

Phil alertou que os principais desafios de segurança permanecem os mesmos. Muitas empresas implementam plataformas de IA sem uma governança clara, controles de identidade robustos ou visibilidade completa dos ativos e fluxos de dados.

A IA não substitui fundamentos sólidos de segurança. Em muitos casos, isso amplifica os controles fracos e a falta de clareza na titularidade.

A rápida adoção da IA torna a disciplina operacional básica mais importante do que nunca.

O que significa, afinal, "atender aos requisitos de conformidade do setor financeiro" hoje em dia?

Esta nova era de supervisão traz uma dura verdade. Não há uma linha de chegada clara.

Em um modelo baseado em listas de verificação, a conformidade significava que você havia concluído as tarefas obrigatórias. Você atendeu aos padrões e prosseguiu.

Em um modelo orientado para a resiliência, o sucesso se transforma. Depende de quão bem você se sai sob estresse real.

Phil explicou que as suposições muitas vezes falham durante uma crise. Sua verdadeira prontidão se manifesta na rapidez e eficácia com que sua equipe responde.

Como disse Phil, "todo mundo tem um plano até levar um soco na boca".

Hoje em dia, os reguladores definem a aprovação com base no comportamento, não na perfeição. Eles esperam que você admita suas fraquezas, apresente planos práticos de correção e demonstre uma melhora constante. Eles querem disciplina incorporada aos processos diários, não heroísmo de última hora.

Os supervisores não esperam sistemas perfeitos. Eles esperam organizações maduras que se preparem com antecedência, operem com transparência e assumam a responsabilidade quando surgirem falhas.

O risco cibernético agora é um risco de modelo operacional.

Essa mudança reflete uma verdade maior. O risco cibernético já não se restringe apenas à TI.

Muitas organizações agora posicionam os CISOs em níveis mais altos na estrutura organizacional. Os conselhos de administração também assumem responsabilidade direta pelos resultados na área de segurança cibernética.

Os reguladores vão além das estruturas de controle. Eles analisam modelos operacionais, processos de tomada de decisão e como as equipes gerenciam riscos em toda a empresa.

A resiliência agora funciona como uma competência essencial dos negócios. Isso influencia a forma como você planeja, investe e reage às disrupções.

Se você tratar a cibersegurança como uma função técnica isolada, terá dificuldades nesse ambiente.

Ao incorporar a resiliência na liderança, nas operações diárias, na supervisão de fornecedores e nas decisões executivas, você se tornará mais forte. Você estará mais bem preparado para lidar com os órgãos reguladores e com incidentes do mundo real.

Ouça o episódio completo de The Segment: A Zero Trust Leadership Podcast em Podcasts da Apple, Spotify, ou nosso site.

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
Fevereiro 25, 2026
23 minutos. ler
Serviços financeiros do setor bancário &
Conformidade
Entre em contato conosco
Compartilhar

Artigos relacionados

Por que os fundamentos de segurança são a parte mais negligenciada na adoção de uma estratégia de confiança zero?
Resiliência cibernética

Por que os fundamentos de segurança são a parte mais negligenciada na adoção de uma estratégia de confiança zero?

Descubra por que os fundamentos de segurança são a parte mais negligenciada do Zero Trust e como acertar o básico determina se as violações se intensificam ou permanecem contidas.

Leia mais
Resiliência cibernética
Relatório Temático CBEST 2025: O que os dados revelam sobre a ciberfragilidade nos serviços financeiros
Resiliência cibernética

Relatório Temático CBEST 2025: O que os dados revelam sobre a ciberfragilidade nos serviços financeiros

Descubra como o CBEST 2025 expõe a fragilidade cibernética oculta nas instituições financeiras do Reino Unido e por que a contenção de violações é crucial quando os invasores se movem livremente após uma invasão.

Leia mais
Serviços financeiros do setor bancário &
Novo relatório da FinCEN sobre ransomware: Bancos devem conter o risco de materialidade.
Contenção de ransomware

Novo relatório da FinCEN sobre ransomware: Bancos devem conter o risco de materialidade.

Explore o relatório mais recente da FinCEN sobre ransomware e descubra por que os bancos devem gerenciar o risco de materialidade e usar a contenção de violações para evitar a divulgação e as consequências negativas.

Leia mais
Serviços financeiros do setor bancário &
Contenção de ransomware
Visibilidade vs. Observabilidade: o contexto é mais importante do que nunca na era da nuvem
Resiliência cibernética

Visibilidade vs. Observabilidade: o contexto é mais importante do que nunca na era da nuvem

Descubra como a observabilidade alimentada por IA transforma a segurança cibernética de visibilidade estática para contenção de violações em tempo real com o Illumio Insights.

Leia mais
Nenhum item encontrado.
Atenção à lacuna de contexto: por que as equipes de segurança do Reino Unido estão tendo dificuldades para investigar o que importa
Resiliência cibernética

Atenção à lacuna de contexto: por que as equipes de segurança do Reino Unido estão tendo dificuldades para investigar o que importa

Descubra por que as equipes de segurança do Reino Unido enfrentam sobrecarga de alertas e detecção lenta e veja como a Illumio Insights fecha a lacuna crítica do contexto cibernético.

Leia mais
Resiliência cibernética
Nossas histórias favoritas de Zero Trust de outubro de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de outubro de 2023

Aqui estão algumas das histórias e perspectivas do Zero Trust que mais se destacaram para nós neste mês.

Leia mais
Nenhum item encontrado.

Experimente o Illumio Insights hoje mesmo

Veja como a observabilidade com IA ajuda você a detectar, entender e conter ameaças mais rapidamente.
Experimente o Illumio Insights