Post cover image

June 4, 2026

Quando estar em compliance não é o mesmo que estar seguro

Carol Maria S.

7 min read

Uma reflexão sobre governança de cibersegurança orientada a risco em bureaus de crédito brasileiros

Durante muito tempo, segurança da informação foi tratada como uma agenda técnica. Algo importante, sim, mas restrito à TI, aos controles, às ferramentas, aos times especializados e aos relatórios de auditoria. Só que a digitalização das organizações mudou completamente esse jogo. Hoje, segurança e privacidade não são mais apenas temas técnicos: são temas de continuidade operacional, confiança, reputação e competitividade.

No caso dos bureaus de crédito, essa discussão fica ainda mais sensível. Essas organizações ocupam uma posição central no ecossistema financeiro brasileiro, pois processam, armazenam e analisam grandes volumes de dados pessoais e financeiros de pessoas físicas e jurídicas. Na prática, são infraestruturas informacionais essenciais para o funcionamento do crédito, da análise de risco, da concessão de produtos financeiros e de inúmeras decisões automatizadas que afetam a vida econômica de milhões de pessoas.

Ao mesmo tempo, esse setor opera sob forte pressão regulatória. A Lei Geral de Proteção de Dados (LGPD) e a Resolução BCB 4.658 criaram obrigações importantes sobre proteção de dados, segurança cibernética, governança e contratação de serviços de tecnologia. Isso é necessário e positivo. O problema começa quando a organização passa a confundir conformidade regulatória com segurança real.

Estar em compliance significa atender a requisitos normativos, produzir evidências, passar por auditorias, formalizar políticas e demonstrar aderência a determinados padrões. Estar seguro, por outro lado, significa conseguir identificar riscos relevantes, priorizar investimentos, responder a incidentes, proteger ativos críticos e adaptar continuamente a estratégia de segurança conforme o ambiente de ameaças evolui. As duas coisas deveriam caminhar juntas. Mas, na prática, nem sempre caminham.

É justamente nesse ponto que surge a questão central: como a adoção de um modelo de governança de cibersegurança orientado ao risco de negócio — em contraste com uma abordagem predominantemente regulatória — influencia a qualidade das decisões de investimento em segurança e a maturidade de proteção de dados em bureaus de crédito brasileiros?

A pergunta importa porque organizações altamente reguladas podem desenvolver uma falsa sensação de proteção. O cumprimento de normas pode funcionar como piso mínimo de segurança, mas não deveria se transformar em teto. Quando a lógica dominante é apenas "cumprir o requisito", as decisões de investimento tendem a privilegiar aquilo que é auditável, documentável e exigido formalmente. O risco é deixar em segundo plano dimensões críticas que não aparecem com a mesma clareza nos checklists regulatórios, mas que podem ser decisivas em um incidente real.

Essa tensão aparece com força na literatura recente. Proudfoot, Madnick e Cram discutem como organizações navegam em um mar crescente de regulações de cibersegurança e mostram que conformidade e segurança efetiva não são a mesma coisa. Uma empresa pode estar certificada e, ainda assim, vulnerável. Blau, em artigo publicado na Harvard Business Review, também ajuda a explicar por que executivos tendem a subinvestir em cibersegurança: o retorno do investimento é difícil de medir, os riscos são probabilísticos e muitas lideranças ainda operam com modelos mentais inadequados, como se segurança fosse uma "fortaleza" que, uma vez construída, permaneceria protegida.

Esse raciocínio é perigoso porque a segurança cibernética não é um projeto com começo, meio e fim. É uma capacidade organizacional contínua. A ameaça muda, o negócio muda, a tecnologia muda, os dados mudam e os atacantes também mudam. Por isso, uma governança madura não pode se limitar a responder ao regulador. Ela precisa conectar segurança à estratégia do negócio.

Nos bureaus de crédito, essa conexão é particularmente relevante porque os dados não são apenas um recurso operacional. Eles são o coração do modelo de negócio. A proteção de dados, portanto, não deveria ser vista apenas como obrigação legal, mas como condição de confiança. E confiança, nesse mercado, é ativo competitivo.

Um modelo de governança orientado ao risco de negócio parte de uma pergunta diferente. Em vez de perguntar apenas "estamos cumprindo a norma?", ele pergunta: "quais são os riscos mais relevantes para o negócio, para os titulares dos dados, para a continuidade da operação e para a confiança do mercado?". Essa mudança altera a forma como a organização prioriza investimentos. Em vez de distribuir orçamento com base apenas em exigências regulatórias, ela passa a avaliar exposição real, criticidade dos ativos, impacto potencial, dependência de terceiros, capacidade de resposta e apetite ao risco.

Isso também muda o papel do CISO. Quando o CISO está posicionado apenas dentro da estrutura de TI, há o risco de que a segurança seja tratada como uma subfunção técnica, subordinada às mesmas pressões de prazo, orçamento e entrega da área que precisa ser protegida. Quando a segurança chega ao conselho, ao CEO e aos comitês de risco, a conversa muda de linguagem. Sai do campo puramente técnico e entra no campo da decisão estratégica: quanto risco estamos dispostos a aceitar? Quais ativos são inegociáveis? Onde o subinvestimento pode comprometer a confiança, a operação ou a sustentabilidade do negócio?

Gao, Wattal e Thatcher mostram que a presença do CISO em times de alta gestão pode influenciar decisões organizacionais relevantes, inclusive relacionadas à inovação. Wilkin e coautores reforçam que a governança de TI só se torna parte da governança corporativa quando o conselho assume papéis ativos nesse processo. Em outras palavras: segurança não amadurece apenas com mais ferramentas. Ela amadurece quando passa a fazer parte da estrutura formal de decisão.

Esse ponto é essencial para discutir investimentos. Muitas vezes, a decisão sobre segurança compete com outras prioridades de negócio: novos produtos, migração tecnológica, eficiência operacional, redução de custos, inovação e crescimento. Se a segurança é percebida apenas como custo ou obrigação regulatória, ela tende a perder espaço. Mas, se é percebida como proteção da continuidade, da reputação e da confiança, sua lógica de investimento muda.

Leung, Li e Yue mostram que a relação entre investimento em TI, consciência de segurança e brechas de dados é dinâmica. Investir em tecnologia, por si só, não garante proteção. Em alguns contextos, mais digitalização pode ampliar a exposição se a organização não amadurecer suas capacidades de segurança no mesmo ritmo. Isso é especialmente importante para bureaus de crédito em um ambiente de APIs, nuvem, Open Finance, automação, inteligência artificial e dependência crescente de terceiros.

A discussão fica ainda mais urgente com o avanço da IA. O relatório SANS-Mythos aponta que capacidades baseadas em modelos de linguagem podem acelerar a descoberta de vulnerabilidades, reduzir o tempo entre descoberta e exploração e aumentar a pressão sobre os defensores. Isso significa que programas de segurança baseados em ciclos lentos, métricas desatualizadas e respostas reativas podem se tornar insuficientes. O risco deixa de ser apenas "ter controles" e passa a ser "conseguir se adaptar rápido o bastante".

É aqui que a diferença entre compliance-driven e risk-driven fica mais clara. Uma abordagem orientada à conformidade tende a olhar para trás: o que a norma exigiu, o que a auditoria pediu, o que precisa ser evidenciado. Uma abordagem orientada ao risco olha também para frente: o que pode comprometer o negócio, onde estão os ativos críticos, quais ameaças estão mudando, qual decisão precisa ser tomada antes que o incidente aconteça.

Isso não significa abandonar a conformidade. Pelo contrário. Regulação é fundamental, especialmente em setores que lidam com dados sensíveis e risco sistêmico. O ponto é não transformar compliance em substituto da governança. A conformidade deve ser o ponto de partida. A maturidade está em ir além dela.

Para bureaus de crédito brasileiros, uma agenda de governança de cibersegurança orientada ao risco de negócio poderia gerar três contribuições práticas. Primeiro, melhorar a qualidade das decisões de investimento, direcionando recursos para riscos realmente críticos, e não apenas para requisitos auditáveis. Segundo, aumentar a maturidade de proteção de dados, ao tratar dados pessoais e financeiros como ativos estratégicos e não apenas como objeto de obrigação legal. Terceiro, fortalecer a confiança institucional em um setor cuja legitimidade depende da percepção de segurança, responsabilidade e transparência.

No fim, a pergunta mais importante talvez não seja se a organização está em conformidade. A pergunta mais difícil — e mais estratégica — é se ela está protegendo aquilo que realmente sustenta o negócio.

Porque, em cibersegurança, marcar a caixa pode até encerrar uma auditoria. Mas não necessariamente impede uma crise.

Referências acadêmicas

BADA, Maria; NURSE, Jason R. C. Developing cybersecurity education and awareness programmes for small- and medium-sized enterprises (SMEs). Information & Computer Security, v. 27, n. 3, p. 393–410, 2019.

GAO, Guangping; WATTAL, Sunil; THATCHER, Jason B. The impact of the Chief Information Security Officer on innovation in organizations. MIS Quarterly Executive, v. 14, n. 4, p. 179–192, 2015.

LEUNG, Andrew C. M.; LI, Hui; YUE, Wai K. Information technology investment and data breach: The role of security awareness. Information Systems Frontiers, v. 24, n. 5, p. 1507–1524, 2022.

PROUDFOOT, Jeffrey G.; MADNICK, Stuart E.; CRAM, W. Alec. Navigating the seas of cybersecurity regulation. MIT Sloan Management Review, v. 65, n. 2, 2024.

WILKIN, Carla L.; CAMPBELL, John; MOORE, Steve; VAN GREMBERGEN, Wim. Co-creating value from IT in a contract-for-service environment: Exploring the governance mechanisms. Journal of Information Technology, v. 31, n. 4, p. 370–385, 2016.

Artigos e publicações executivas

BLAU, Andrew. Why companies underinvest in cybersecurity. Harvard Business Review, 2024. Disponível em: https://hbr.org. Acesso em: 2025.

SANS INSTITUTE; MYTHOS AI. The impact of AI on vulnerability discovery and exploitation. Bethesda, MD: SANS Institute, 2024.

Legislação e regulamentação brasileira

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br. Acesso em: 2025.

BANCO CENTRAL DO BRASIL. Resolução nº 4.658, de 26 de abril de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Brasília: Banco Central do Brasil, 2018. Disponível em: https://www.bcb.gov.br. Acesso em: 2025.

BANCO CENTRAL DO BRASIL. Resolução CMN nº 4.893, de 26 de fevereiro de 2021. Dispõe sobre a política de segurança cibernética e os requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. Brasília: Banco Central do Brasil, 2021. Disponível em: https://www.bcb.gov.br. Acesso em: 2025.

Referências complementares recomendadas

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Cybersecurity Framework (CSF) 2.0. Gaithersburg, MD: NIST, 2024.

ISACA. COBIT 2019 Framework: Governance and Management Objectives. Schaumburg, IL: ISACA, 2019.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Geneva: ISO, 2022.

WORLD ECONOMIC FORUM. Global Cybersecurity Outlook 2025. Geneva: World Economic Forum, 2025.

ROSS, Jeanne W.; WEILL, Peter. IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Boston: Harvard Business School Press, 2004.

VAN GREMBERGEN, Wim; DE HAES, Steven. Enterprise Governance of Information Technology: Achieving Alignment and Value. 2. ed. Cham: Springer, 2024.