image

Acesse bootcamps ilimitados e +650 cursos pra sempre

70
%OFF
Lista de conteúdos
Article image
Carlos Pinheiro
Carlos Pinheiro26/05/2026 21:04
Compartilhe

O novo perímetro da segurança corporativa: quando o alvo não é o sistema, mas a pessoa

    Durante muito tempo, quando falávamos em segurança da informação, a imagem que vinha à mente era quase sempre a mesma: firewalls, antivírus, senhas fortes, servidores protegidos, criptografia, backups e políticas de acesso. Tudo isso continua sendo essencial. Nenhuma empresa séria pode tratar infraestrutura, software e dados de forma improvisada. Mas o cenário atual de ameaças deixou claro que proteger apenas a máquina não basta. O atacante moderno nem sempre começa tentando invadir o servidor. Muitas vezes, ele começa tentando convencer uma pessoa.

    É aqui que entra a engenharia social, um dos temas mais importantes e, ao mesmo tempo, mais subestimados dentro da segurança corporativa. Engenharia social é o uso de manipulação, confiança, urgência, distração ou autoridade falsa para levar alguém a revelar informações, clicar em links, abrir anexos, aprovar acessos ou executar ações que colocam a organização em risco. Em outras palavras, o ataque não mira apenas o código, a rede ou o banco de dados. Ele mira o comportamento humano. Fontes como a Cisco descrevem esse tipo de ataque como uma exploração da confiança da vítima para levá-la a tomar decisões inseguras. (Cisco)

    No contexto de TIC, isso muda bastante a forma como enxergamos segurança. Um sistema pode estar tecnicamente bem protegido, mas ainda assim ser comprometido se alguém entregar uma credencial, aprovar uma solicitação falsa, compartilhar um token de acesso ou executar um arquivo malicioso. A frase “não é preciso hackear o sistema quando se consegue enganar quem tem a senha” é uma simplificação, mas expressa uma verdade prática: o acesso humano continua sendo um dos caminhos mais valiosos para invasores.

    Esse risco não é teórico. Relatórios de segurança mostram há anos que credenciais roubadas, phishing, erro humano e exploração de confiança continuam sendo elementos relevantes em incidentes corporativos. O DBIR da Verizon, um dos relatórios mais citados na área, destaca que violações de dados frequentemente envolvem credenciais, phishing, vulnerabilidades de software e fatores humanos. A edição de 2026 também chama atenção para o crescimento das violações iniciadas por vulnerabilidades de software, o que mostra que o problema não é apenas humano nem apenas técnico: os dois lados precisam ser tratados juntos. (Verizon)

    O ponto central é que a segurança corporativa precisa deixar de ser vista como responsabilidade exclusiva do time de infraestrutura ou do time de segurança. Desenvolvedores, analistas, gestores, suporte, comercial, financeiro e diretoria também fazem parte da superfície de ataque. Uma pessoa que trabalha com contratos pode receber um e-mail falso de fornecedor. Um desenvolvedor pode ser induzido a instalar uma dependência comprometida. Um gestor pode receber uma mensagem falsa pedindo aprovação urgente de pagamento. Um administrador de sistemas pode ser convencido a “resolver rapidamente” um problema que, na verdade, foi criado pelo próprio atacante.

    Com a inteligência artificial, esse cenário ficou ainda mais delicado. Antes, muitos golpes eram fáceis de identificar por erros grosseiros de gramática, mensagens genéricas ou aparência amadora. Hoje, ferramentas de IA podem produzir textos convincentes, simular estilos de escrita, criar imagens realistas, clonar vozes e até apoiar fraudes com vídeos falsos. O FBI já alertou que criminosos usam IA para criar mensagens de voz, vídeo e e-mails mais convincentes em golpes contra pessoas e empresas. (Federal Bureau of Investigation)

    Isso afeta diretamente o ambiente corporativo. Imagine um colaborador recebendo uma mensagem de voz que parece ser do diretor da empresa pedindo urgência em uma transferência. Ou um desenvolvedor recebendo uma solicitação aparentemente legítima de um líder técnico para liberar acesso temporário a um repositório. Ou ainda uma reunião por vídeo na qual participantes falsificados por deepfake simulam executivos da organização. Esse tipo de risco já deixou de ser ficção. O caso da empresa Arup, em Hong Kong, ficou conhecido porque criminosos usaram uma chamada falsa com deepfake para enganar um funcionário e gerar um prejuízo milionário. (The Guardian)

    Quando trazemos esse tema para o desenvolvimento de software, percebemos que a proteção também precisa estar dentro do ciclo de vida da aplicação. Não basta escrever código funcional. É preciso pensar em autenticação forte, controle de sessão, permissões mínimas, logs, trilhas de auditoria, validação de entrada, proteção contra vazamento de dados e mecanismos de revisão para ações sensíveis. Um bom software corporativo deve assumir que erros humanos acontecem e que alguém pode tentar manipular o usuário. Por isso, sistemas críticos devem exigir confirmação adicional, autenticação multifator e limites bem definidos para ações administrativas.

    Também é importante revisar a cultura de permissões. Muitas empresas ainda trabalham com acessos amplos demais. Um usuário recebe mais privilégios do que precisa, uma chave de API fica salva em local inadequado, um token permanece ativo por tempo indefinido, um colaborador muda de função e continua com permissões antigas. Esses detalhes parecem pequenos, mas viram oportunidades. O princípio do menor privilégio continua sendo uma das práticas mais importantes em segurança: cada pessoa, sistema ou serviço deve ter apenas o acesso necessário para executar sua função.

    Outro ponto essencial é o treinamento. Mas não aquele treinamento burocrático, cheio de slides genéricos, feito apenas para cumprir requisito de compliance. O treinamento precisa ser prático, recorrente e contextualizado. As pessoas precisam reconhecer sinais de phishing, mensagens de urgência artificial, solicitações incomuns, anexos suspeitos, links encurtados, domínios parecidos, pedidos fora do canal oficial e abordagens que tentam criar confiança rápida demais. A área de segurança precisa ensinar o colaborador a desconfiar sem paralisar o trabalho.

    No desenvolvimento de software, isso pode ser reforçado com processos. Pull requests devem ser revisados. Dependências devem ser analisadas. Segredos não devem ser enviados ao Git. Ambientes de produção não devem ser acessados sem rastreabilidade. Scripts de automação precisam ser auditáveis. Integrações com APIs externas devem ter limites e chaves rotacionadas. Sistemas internos precisam registrar quem fez o quê, quando fez e de onde fez. Segurança não pode depender apenas da memória ou da boa vontade das pessoas.

    É aqui que segurança corporativa, engenharia de software e cultura organizacional se encontram. Se a empresa investe em firewall, mas não treina seu time, ela deixa uma porta aberta. Se investe em treinamento, mas mantém sistemas mal projetados, também continua vulnerável. Se cria políticas, mas não fornece ferramentas adequadas, empurra o colaborador para atalhos perigosos. Segurança de verdade nasce da combinação entre tecnologia, processo e comportamento.

    A abordagem mais madura é tratar o risco humano não como culpa do usuário, mas como parte do projeto do sistema. Pessoas erram, se apressam, confiam, se distraem e tomam decisões sob pressão. Um sistema corporativo bem desenhado reduz o impacto desses erros. Uma cultura de segurança bem conduzida ajuda o usuário a pedir confirmação antes de agir. Uma arquitetura bem planejada impede que uma única decisão equivocada comprometa toda a organização.

    No fim, a grande lição é simples: o novo perímetro da segurança não termina no servidor, no firewall ou no código-fonte. Ele passa pelas pessoas, pelos processos, pelos canais de comunicação, pelas permissões, pelas integrações e pela forma como a empresa toma decisões digitais. Em um mundo onde a IA torna golpes mais convincentes e ataques mais personalizados, segurança corporativa precisa ser tratada como uma disciplina viva, contínua e integrada ao desenvolvimento de software.

    A empresa que entende isso deixa de enxergar segurança como um obstáculo e passa a tratá-la como qualidade de engenharia. Porque software seguro não é apenas aquele que compila, responde rápido e tem boa interface. Software seguro é aquele que protege dados, orienta o usuário, limita danos, registra ações e dificulta a vida de quem tenta transformar confiança em vulnerabilidade.

    Referências

    • Cisco — What Is Social Engineering in Cybersecurity? (Cisco)
    • FBI — Cyber criminals utilizing artificial intelligence (Federal Bureau of Investigation)
    • CISA, NSA e FBI — Deepfake threats and synthetic media (ic3.gov)
    • Verizon — Data Breach Investigations Report (Verizon)
    • The Guardian — Arup deepfake scam case (The Guardian)
    Compartilhe
    Recomendados para você
    GFT - Fundamentos de Cloud com AWS
    Bootcamp Bradesco - GenAI, Dados & Cyber
    Bootcamp Afya - Automação de Dados com IA
    Comentários (0)