A Governança Corporativa desempenha um papel central na resposta das empresas contra ameaças de hackers e roubo de dados pessoais. Ao estabelecer políticas claras, processos bem definidos e uma cultura organizacional orientada para a proteção da informação, a Governança garante que todos os colaboradores entendam suas responsabilidades e a importância da segurança dos dados. Além disso, a implementação de boas práticas de Governança facilita a identificação rápida de vulnerabilidades, a adoção de medidas preventivas e reativas, e o cumprimento das normas legais, como a LGPD. (Lei Geral de Proteção de Dados – Lei 13.709/18)
O que nós assistimos hoje são empresas públicas e privadas, de médio e grande porte, isto é, com orçamentos anuais “robustos”, mas aparentemente com uma estrutura de Governança pouco eficaz, ou até obsoleta.
Neste artigo, vamos explorar o papel da Governança, do DPO (Data Protection Officer) e do Compliance Officer, na cibersegurança e proteção de dados sensíveis, e ainda como as empresas podem adotar práticas eficientes para garantir a segurança da informação. A Governança não é apenas uma questão de seguir normas e regulamentações, mas de adotar uma abordagem estratégica e proativa para proteger os ativos mais importantes da organização.
Quanto custa um incidente de segurança cibernética?
No ambiente corporativo, bancos, fintechs e empresas de tecnologia enfrentaram episódios de sequestro de dados, exposição de informações de clientes e golpes digitais direcionados aos seus usuários.
Vale a pena relembrar alguns deles:
• Desvio de mais de R$ 500 milhões de contas públicas por meio de transferências fraudulentas via Pix, um golpe considerado histórico pela Polícia Federal.
• Também foram registradas tentativas de invasão a órgãos do Judiciário e vazamentos de dados em diversas esferas do setor público.
• Empresas abrangendo mais de 10 setores diferentes igualmente afetadas, como órgãos públicos, saúde, serviços financeiros, educação, telecomunicações, hotelaria e turismo, manufatura, construção, transporte, entre outros.
• Em São José do Rio Preto, no estado de São Paulo, por exemplo, um ataque cibernético atingiu servidores municipais, afetando plataformas essenciais como emissão de notas fiscais, agendamento de consultas e sistema de arrecadação. A prefeitura confirmou que precisou suspender temporariamente o atendimento digital, mobilizando equipes de segurança para conter a invasão e recuperar dados, que segundo a gestão, não sofreram vazamento.
• Na prefeitura de Paranhos, no Mato Grosso do Sul, o cenário foi similar: sistemas ficaram indisponíveis após ação de ransomware que criptografou arquivos, bloqueando o acesso a informações cruciais para o funcionamento administrativo e serviços públicos.
• Em Porto Nacional, no Tocantins, outro ataque causou a paralisação dos sistemas digitais municipais, comprometendo serviços básicos e levando à interrupção temporária do atendimento presencial e online.
• No setor da Saúde, o Grupo Jorge Batista que é proprietário das Farmácias Globo, no Piauí, foi alvo de um ataque que causou instabilidades operacionais resultando em prejuízo estimado em R$ 400 milhões de reais. Foram sequestrados os sistemas da companhia, interrompendo pedidos e ficando fora do ar, assim, não registrando vendas. Os cibercriminosos ameaçaram apagar todos os dados da empresa caso o resgate não fosse pago.
• No âmbito financeiro, a XP informou seus clientes por e-mail em abril, que teve um acesso não autorizado de uma base externa. Informações pessoais como nomes, número da conta, saldo e limite de crédito foram expostos, mas nenhuma operação foi realizada. A corretora de investimentos não foi a única afetada. O Banco Neon também comunicou um vazamento, mas não detalhou quais informações sofreram uma “cópia não autorizada”.
• E por último, mas não menos importante, um dos maiores ataques cibernéticos na história do Brasil, a invasão a empresa C&M Software que custodia as transações via PIX entre instituições financeiras e o Banco Central (BC). Os cibercriminosos obtiveram passagem via credenciais internas através de um insider, com o acesso indevido a contas de reserva de pelo menos seis instituições financeiras (as contas de reservas são contas que os bancos e instituições financeiras mantêm no BC). Entre as instituições financeiras confirmadas afetadas estão: BMP, Banco Paulista, Credsystem e Banco Carrefour.
Nem mesmo os órgãos mais estratégicos da Justiça brasileira escaparam da onda de ataques cibernéticos registrados em 2025. O Superior Tribunal de Justiça (STJ) e o Conselho Nacional de Justiça (CNJ) foram alvos de tentativas de invasão que acenderam alertas entre autoridades de segurança. A Polícia Federal passou a investigar os casos de forma conjunta após identificar movimentações suspeitas nos sistemas internos entre março e abril deste Ano.
A combinação desses fatores expõe uma realidade preocupante: muitos órgãos públicos ainda operam com defasagens tecnológicas e sem protocolos adequados de cibersegurança, tornando-se alvos fáceis para grupos criminosos cada vez mais organizados e sofisticados.
Importa destacar que o Brasil em 2025 registrou um alto volume de ataques cibernéticos, respondendo por 84% das tentativas detectadas na América Latina e Canadá no primeiro semestre. Houve um aumento significativo em ataques de ransomware, com a região globalmente vendo um crescimento de 149%. Setores como Governo, saúde e telecomunicações foram os mais visados no Brasil no segundo trimestre, sofrendo em média 2.831 ataques semanais por organização.
A segurança dos dados é um dos maiores desafios para empresas modernas, especialmente em um mundo onde as ameaças cibernéticas continuam a crescer em volume e sofisticação. Com o aumento da coleta e armazenamento de dados sensíveis, como informações pessoais, financeiras e de saúde, a Governança de cibersegurança surge como uma estratégia essencial para proteger esses dados contra ataques e violações.
Lembrando que a violação desses dados pode ter consequências devastadoras, tanto para a empresa quanto para seus clientes, incluindo multas pesadas, perda de confiança dos consumidores e danos irreparáveis à reputação.
A partir do trabalho de empresas especializadas em LGPD e Compliance, através dos profissionais igualmente treinados e especializados, em conjunto com o time de Governança das empresas dos mais diversos setores, é feita a prevenção abrangendo os mais diversos conhecimentos.
O que fazer? E como fazer?
Empresas Públicas e Privadas devem levar a sério a Conformidade legal, observando a obrigação de se adequar às Leis 13.709/18 e 12.846/13, respetivamente a Lei Geral de Proteção de Dados e ao Compliance. São a base de uma Governança Corporativa, seja no setor Público, setor Privado ou Terceiro setor.
Como prevenir ataques cibernéticos a empresas?
A principal lição desses casos é que ninguém está imune a ataques digitais. Como as ameaças evoluem constantemente, a prevenção se torna essencial. Entre as medidas de proteção, podemos destacar:
• Cultura de Segurança e Conscientização;
• Políticas de segurança de informação atualizadas;
• Políticas de Privacidade e segurança de dados;
• Educação e conscientização;
• Gestão rigorosa de credenciais;
• Atualizações e correções constantes;
• Segurança de redes e segmentação;
• Monitoramento contínuo e detecção de ameaças;
• Backup e recuperação de dados;
• Gestão de fornecedores e terceiros;
• Testes e simulações de cibersegurança;
• Entre demais práticas de monitoramento e auditorias continuas.
Assim empresas conseguem monitorar continuamente seus sistemas, responder de forma coordenada a incidentes de segurança e minimizar o impacto de ataques cibernéticos. A transparência nas ações e o comprometimento da liderança reforçam a confiança dos clientes e parceiros, mostrando que a proteção dos dados pessoais é prioridade. Dessa forma, a Governança não só fortalece a defesa contra ameaças digitais, mas também contribui para a sustentabilidade e reputação das organizações no mercado. Criando mais valor!!
Concluindo, a Governança de cibersegurança é essencial para proteger os dados sensíveis de uma organização em um cenário onde as ameaças cibernéticas continuam a crescer. Implementar políticas claras, treinar funcionários e adotar ferramentas de automação são passos cruciais para garantir que os dados permaneçam seguros e a empresa esteja em conformidade com as regulamentações.
