Dissuasão cibernética: complementar o ciclo clássico para reduzir tentativas e fortalecer a resiliência

Muito temos falado sobre proteger, detectar, responder e recuperar. A proposta aqui é adicionar um componente complementar a esse ciclo: dissuasão cibernética, isto é, desestimular o ataque antes que ele comece, tornando o alvo menos atrativo e mais arriscado para o agressor. Este conceito precisa ser levado à alta direção com clareza e, eu diria, com certa urgência, porque ele é parte importante da resiliência cibernética ao atuar sobre a probabilidade do incidente e não apenas sobre seus efeitos. A pesquisa “CISO Edge: Use Cyber Deterrence to Stop Attacks Before They Start” (Gartner, 2026) posiciona a dissuasão como um complemento explícito às práticas estabelecidas de segurança.

Por que prestar atenção agora
Mesmo com investimentos crescentes, o custo dos incidentes continua alto. A maior parte dos programas é reativa por natureza; falta um bloco que influencie o comportamento do agressor antes do primeiro passo. Inserir dissuasão no programa reduz tentativas oportunistas, desloca atacantes para alvos menos protegidos e encurta crises potenciais.

O que é, de forma prática
Para direcionar a estratégia, apoie-se no modelo PARC:
• Profit (lucro): diminuir o retorno econômico esperado do ataque.
• Anonymity (anonimato): reduzir o conforto do agressor em operar sem ser percebido.
• Repercussions (consequências): aumentar a chance de responsabilização.
• Costs (custos): elevar o esforço técnico e operacional para prosseguir.

Táticas alinhadas ao PARC
Profit — reduzir o ganho esperado
Comece pelo que toda empresa pode fazer:
• Política pública de não pagamento de resgate, com governança para sustentar a decisão.
• Criptografia forte em repouso e em trânsito nos dados mais sensíveis.
• Mínima retenção de dados: guardar apenas o necessário, pelo tempo necessário, reduzindo o valor de um vazamento.
E, quando fizer sentido, avance:
• Programa de bug bounty (recompensa por vulnerabilidades) com regras claras e canal de divulgação responsável.
• Seguro cibernético com cláusulas que desencorajam financiar o crime (e exigem controles mínimos bem definidos).

Anonymity — tirar o conforto do agressor
Comece pelo que é exequível:
• Deception/honeypots em rotas críticas para observar técnicas de intrusão e registrar evidências.
• Telemetria de qualidade (EDR, logs de identidade e rede) com correlação efetiva.
• Compartilhamento rápido de IOCs e TTPs em comunidades setoriais e com o CERT.br, queimando técnicas recém-observadas.
E, quando fizer sentido, avance:
• Análises de infraestrutura atacante e publicação de indicadores em fóruns especializados, de forma coordenada e responsável.

Repercussions — aumentar a chance de responsabilização
Comece pelo que é exequível:
• Fluxo jurídico pré-acordado para incidentes, com preservação de evidências e cadeia de custódia.
• Canais de cooperação com Polícia Federal, delegacias especializadas em crimes cibernéticos das Polícias Civis e Ministério Público, quando cabível.
• Relato estruturado de incidentes significativos ao CERT.br e a entidades setoriais.
E, quando fizer sentido, avance:
• Parcerias com provedores de hospedagem e conectividade para pedidos céleres de preservação, bloqueio ou derrubada de infraestrutura maliciosa, dentro da lei e mediante documentação adequada.

Costs — tornar o caminho caro e lento
Aqui, a ligação com segmentação é direta. O objetivo é tornar cada passo seguinte mais difícil e demorado:
• Segmentação de rede e administração por estações de salto: consoles de virtualização, backup, firewalls e controladores de domínio fora das rotas de VPN de usuário.
• Controles de identidade reforçados nas rotas de maior valor: MFA robusto, PAM com “just-in-time”, contas de serviço com escopo mínimo e vencimento.
• EDR com isolamento rápido e SIEM com hipóteses por fronteira: bloquear, em segundos, tentativas de cruzar do segmento de usuário para administração, de estação para backup, de operação para identidade.
• Backups imutáveis e testados: remover do atacante a alavanca de “apagar a volta”.
• Políticas de exposição reduzidas em serviços de administração e RAS: restrição de origem, horários, geografia e ASN, além de limitação e bloqueio progressivo por falhas.

Como comunicar de forma direta e clara
Dissuasão precisa ser visível para surtir efeito. Publique políticas e compromissos em canais oficiais: página de divulgação responsável de vulnerabilidades (com ou sem bug bounty), política de não pagamento, participação em comunidades de compartilhamento e uso de deception em rotas críticas. Comunique de forma sóbria, descrevendo o que está em vigor e como a organização age; o objetivo é informar, não provocar.

Tecnologias que ajudam na jornada
Alguns exemplos aderentes ao que foi descrito: EDR com isolamento e coleta forense, SIEM com correlação por fronteira, PAM com acesso justo no tempo, MFA consistente nas rotas de administração, deception/honeypots, plataformas de bug bounty e mecanismos de backup imutável com testes regulares de restauração.

Em síntese: dissuasão cibernética não substitui proteger, detectar, responder e recuperar; ela se soma a esse ciclo para reduzir tentativas, deslocar o agressor e fortalecer a resiliência. Quando comunicada à alta direção de forma direta e incorporada às rotinas, transforma a probabilidade de ataque em variável de gestão — e aproxima a organização de um ambiente mais resiliente e seguro.