Na semana passada, entre os dias 16 e 18 de setembro, tive a oportunidade de participar do Mind the Sec, em São Paulo — o maior evento de cibersegurança da América Latina. Três dias intensos de trocas, provocações e descobertas. Foi lá que conheci o Arthur Cipriani, que me lançou o convite de ser colunista deste importante jornal digital. Aceitei de imediato. Afinal, escrever é parte do meu jeito de ser e de traduzir o mundo dos riscos: com crítica, mas também com clareza e proximidade, portanto – a ti leitor, meu compromisso de lhe trazer sempre um conteúdo relevante, criativo e com meu jeito elegante de desafiar o status-quo.
Mas antes que inauguremos juntos esse primeiro artigo da coluna – O mundo mudou e os riscos também, peço sua permissão para me apresentar brevemente. Meu nome é Rafaela Rodrigues possuo 18 anos de carreira, tendo atuado nas maiores empresas de consultoria global e, neste último ano me aventuro como empreendedora de uma boutique de riscos. Ao longo da minha carreira, formação técnica e conteúdo de qualidade sempre foram alvo de minha jornada, afinal aprender e ensinar nunca será opcional para quem desejar transformar.
Isto posto, inauguro esta coluna com uma pergunta que tem me acompanhado: “O que não muda, quando tudo muda!”
Em um cenário em permanente transformação, quem acompanha tecnologia e segurança da informação sabe que a única constante é a mudança. Promessas de novas regulamentações, inteligência artificial cada vez mais presente, cadeias de suprimento interconectadas e tensões geopolíticas — tudo isso molda o contexto em que atuamos, com base nisso cito o relatório do World Economic Forum – Global Cybersecurity Outlook 2025 que afirma: a velocidade e a complexidade das transformações digitais aumentam as vulnerabilidades e exigem resiliência sistêmica.
A Gartner Business Quarterly (3Q25) reforça: em momentos turbulentos, empresas que redescobrem suas capacidades centrais são as que conseguem atravessar as tempestades. Já o IAM Market Guide 2025 mostra que a gestão de identidade deixou de ser apenas controle técnico e passou a ser um pilar estratégico, integrando segurança, governança e experiência do usuário.
E quando olhamos para os dados do DBIR 2025 (Data Breach Investigations Report), percebemos que, apesar de toda sofisticação tecnológica, o centro de gravidade continua o mesmo: as pessoas.
Após olharmos essas grandes referências, eu – novamente lhes pergunto? O que não muda, quando tudo muda?! Sim – pessoas! Impossível não lembrar da tríade pessoas, processos e tecnologia, não é mesmo? E impossível também não lembrar que pessoas são o elo mais fraco de todo esse ecossistema, mas como eu costumo sempre dizer, se tratadas com estratégia e prioridade devida, passam do elo mais fraco para o elo mais importante de todo este ecossistema, ou seja, o risco de fator humano: é inevitavelmente o elo frágil e elo de força
Segundo o DBIR 2025, 60% das violações de dados envolveram diretamente pessoas — seja clicando em links de phishing, cedendo a ataques de engenharia social ou reutilizando senhas em múltiplos sistemas. Isso confirma o que repetimos há anos: processos podem ser bem desenhados, tecnologias podem ser de ponta, mas basta um clique em falso para abrir a porta a um atacante.
Ao mesmo tempo, o relatório mostra que as próprias pessoas são a linha de defesa mais poderosa. Organizações que investem em cultura de risco, treinamento contínuo e conscientização reduzem significativamente a taxa de sucesso de ataques. Ou seja, o pilar mais frágil é também o que pode se tornar mais resiliente.
E aqui entra o conceito de identidade — um tema central na cibersegurança atual. A identidade digital não é apenas uma credencial de login. Ela é, cada vez mais, o perímetro da empresa. O IAM Guide 2025 reforça que sem políticas de identidade robustas (como autenticação multifator, passwordless e governança de acessos), abre-se a porta para fraudes em larga escala.
No Brasil, os recentes ataques ao sistema financeiro — muitos deles começando com credenciais comprometidas ou com falhas de autenticação — são prova concreta dessa fragilidade. O DBIR destaca que no setor financeiro 90% dos ataques têm motivação financeira e, em sua maioria, iniciam com uso de credenciais roubadas e técnicas de engenharia social.
Portanto Senhores ouso aqui dizer que Identidade não é só a bola da vez, mas também nos traz a visão do risco ampliado, ou seja, aquilo que já venho trazendo há algum tempo – interconectividade de riscos.
Mas Rafa o que é isso?!
Se olharmos outro dado alarmante do DBIR: 46% dos sistemas comprometidos em 2025 tinham logins corporativos em dispositivos não-gerenciados (BYOD), mesclando dados pessoais e profissionais. Esse ponto mostra o quanto a fronteira entre vida pessoal e trabalho está borrada. O celular que usamos para conversar em grupo de família também pode ser o vetor de entrada de um ransomware.
Além disso, novas técnicas estão em ascensão: ataques de prompt bombing (bombardeio de solicitações de MFA), deepfakes em videochamadas e uso intensivo de IA generativa para criar mensagens de phishing cada vez mais convincentes.
Tudo isso nos lembra de algo essencial: a identidade é o coração da segurança. Cuidar de acessos, validar quem é quem em cada transação digital e garantir que cada identidade (humana ou de máquina) esteja protegida é o caminho para reduzir riscos.
E, portanto, novamente lhes pergunto: o que não muda, quando tudo muda!
Entre tantos movimentos, a resposta é simples e desafiadora: o que não muda é a necessidade de investir nas pessoas e em sua identidade.
Elas são quem dão vida aos processos e sentido à tecnologia. Elas podem ser enganadas, mas também podem ser capacitadas. Elas podem abrir portas para criminosos ou fechá-las com consciência e atitude.
Quando tudo muda, não muda o papel das pessoas como centro da resiliência organizacional. E é a partir dessa lente que seguiremos juntos, toda segunda-feira, nesta coluna. Para provocar, informar e inspirar.
Porque, no fim, o que protege nossas empresas, cidades e até países não é só o código-fonte ou o firewall: é a capacidade humana de aprender, se adaptar e agir com responsabilidade em meio à incerteza.
Até a próxima semana, com café e com bytes de reflexão e coragem para enfrentar os riscos.
Um abraço da Rafa.
