Ambiente de trabalho distribuído, migração para nuvem em ritmo de foguete, identidades por toda parte e IA entrando em cada fluxo de trabalho. O resultado é conhecido, a superfície de ataque cresceu mais rápido do que a capacidade de muita gente de medir e responder. O instinto natural é tentar “fechar todas as portas”. Não dá. E tudo bem, porque segurança eficaz nunca foi sinônimo de correção total e, sim, de escolhas certas feitas no tempo certo.

Quando tratamos risco como lista infinita de CVEs, a conversa não sai do lugar. Mas, ao traduzir risco em impacto de negócio, quanto custa uma hora de operação paralisada, qual processo é mais crítico para o caixa ou para o cliente, a discussão sobe de patamar. É aqui que a gestão de exposição se torna disciplina estratégica: unificar sinais dispersos, normalizar em uma régua única e priorizar o que realmente reduz risco.

Ainda, precisamos aceitar verdades do mundo do CISO. Primeiro: faltam profissionais. O déficit de pessoas qualificadas em cibersegurança é global, já vem de muito tempo e não vai se resolver amanhã. Segundo: orçamento é sempre menor que a necessidade e a segurança sofre com isso em dobro. Terceiro: a minoria dos problemas vem da minoria das vulnerabilidades. A Tenable coletou e analisou aproximadamente 50 trilhões de pontos de dados relacionados a mais de 240 mil vulnerabilidades e desenvolveu uma metodologia a qual aponta que, desse total, apenas 3% frequentemente resultam em riscos de exposição significativos. Em outras palavras, priorização é fundamental.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Mas nem tudo que está no “alto” da planilha vale o mesmo. Uma vulnerabilidade crítica em um ativo secundário pode esperar alguns dias, no notebook do administrador de domínio, ela precisa ser corrigida em segundos. O contexto – onde está, quem usa, quanto impacto gera – é o que transforma a priorização em ROI. É também o que permite falar de segurança em uma linguagem que o board entenda, convertendo risco técnico em impacto financeiro.

Romper silos para ganhar confiança

O maior inimigo hoje não é a falta de tecnologia, mas o excesso mal coordenado. Cada área com sua métrica, cada ferramenta com sua escala e ninguém com a fotografia completa. Gestão de exposição faz a costura, consolida indicadores, gera um score único e dá clareza para que todos falem a mesma língua. Quando isso acontece, a reunião com o board deixa de ser um pedido de orçamento baseado em jargões e passa a ser uma demonstração de evolução e resultado. É nesse ciclo que a confiança cresce e os investimentos fluem.

IA, nuvem e o futuro imediato

IA e nuvem ampliam valor e risco ao mesmo tempo. Com o avanço do trabalho distribuído e a digitalização acelerada de processos, empresas de todos os setores passaram a operar em ambientes cada vez mais complexos e interconectados. Hoje, desde aplicações críticas em nuvem até dispositivos de infraestrutura básica podem se tornar portas de entrada para ataques. Basta um ativo mal configurado para comprometer toda a operação.

No caso da inteligência artificial, o cenário é ainda mais dinâmico. Estamos apenas no começo, mas já sabemos que a velocidade de adoção supera em muito a capacidade de governança. Uma pesquisa da Tenable indica que 70% das cargas de trabalho em nuvem que utilizam IA contêm vulnerabilidades não corrigidas. Essa “torre” de aplicações pode deixar peças soltas como credenciais expostas, permissões excessivas e configuração deficitária se transformando rapidamente em pontos de alto risco.

Não adianta frear a inovação, porque ela é vital à competitividade. O que precisamos é governar o uso, inventariar onde cada tecnologia aparece, revisar identidades e permissões, definir políticas claras e priorizar de acordo com o impacto. Tratar IA e nuvem como mais vetores dentro da régua única de exposição é a forma de colher benefícios sem abrir flancos. A equação não é risco zero, mas sim o equilíbrio entre velocidade e segurança para que a inovação continue sendo diferencial de negócio e não porta aberta ao crime digital.

Segurança não é corrida para fechar todas as portas, é maratona para fechar primeiro as portas que importam. Risco zero não existe. E essa constatação, longe de ser um problema, é o que permite aos líderes de segurança focarem no que realmente cria valor sem travar a inovação.

Leia a matéria no Canaltech.

Fonte: Canaltech - Leia mais

The post Risco zero não existe: alívio para quem precisa decidir first appeared on Diario Tech News.

Já sabemos que a nuvem revolucionou a forma como empresas operam, mas, por consequência, também mudou radicalmente a forma como os atacantes enxergam oportunidades. Hoje, não é preciso um ataque complexo para comprometer um negócio. Muitas vezes, basta uma credencial esquecida, um armazenamento mal configurado ou uma permissão concedida sem muito critério.

O Relatório de Riscos de Segurança na Nuvem 2025 da Tenable (*) mostrou que erros evitáveis ainda expõem dados críticos todos os dias. São casos de chaves de API deixadas públicas, buckets de armazenamento sem autenticação e contas privilegiadas com acesso além do necessário.

Quando isso acontece, o caminho para acessar informações sensíveis e sistemas essenciais pode ser questão de minutos.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

A nova lógica da proteção digital

O ritmo da nuvem não perdoa métodos antigos. Recursos surgem e desaparecem rapidamente, permissões mudam o tempo todo e novas integrações, incluindo a IA generativa com ChatGPT, Gemini, Copilot e outros LLM, ampliam a superfície de ataque. Proteger esse cenário exige mais do que rodar um scanner de tempos em tempos. É preciso gestão contínua de exposição, reunindo dados sobre vulnerabilidades, configurações e identidades para agir sobre o que realmente representa risco e, muito importante, priorizar e ter a plena gestão de vulnerabilidades.

Quatro movimentos estratégicos para fortalecer a segurança na nuvem

Proteger um ambiente em constante mudança não é tarefa para checklists ocasionais. É como tentar garantir a segurança de uma cidade que nunca dorme e que está sempre se expandindo: novos prédios surgem, ruas mudam de direção, e cada esquina pode revelar uma nova vulnerabilidade.

Nesse cenário, as empresas precisam adotar práticas que não sejam apenas reativas, mas que antecipem problemas e criem uma base sólida para decisões rápidas e acertadas baseadas em contexto.

O primeiro passo é conquistar visibilidade unificada. Sem um mapa claro de todos os ativos – espalhados, muitas vezes, por diferentes provedores de nuvem – a empresa corre o risco de proteger apenas parte do território, deixando brechas justamente onde não está olhando.

Depois, vem a necessidade de estabelecer configurações seguras por padrão. Isso significa criar políticas e automações que impeçam, de forma preventiva, que erros humanos ou descuidos técnicos cheguem até o ambiente de produção. É como construir muros de proteção já na fundação da cidade, não depois que ela está pronta.

O terceiro movimento é manter um monitoramento constante. Em um ecossistema tão dinâmico, mudanças não autorizadas ou atividades suspeitas não podem esperar dias para serem descobertas. É preciso estar pronto para detectar e agir em tempo real, antes que um incidente ganhe proporções críticas.

Por fim, é essencial priorizar a correção. Nem todos os riscos têm o mesmo peso. Focar primeiro no que tem maior probabilidade de exploração e potencial de impacto sobre o negócio é o que diferencia empresas que apenas “combatem incêndios” daquelas que de fato protegem o que é mais valioso. E neste ponto que entra a importância de ter uma ferramenta de gerenciamento de exposição que realmente entregue dados acionáveis, fáceis de compreender por parte do board e outros setores da companhia que não são de TI – a comunicação e objetivo claro são cruciais para conquistar uma cultura de cibersegurança.

Segurança como motor da inovação

Tratar a gerenciamento de exposição como prioridade não é apenas uma questão de defesa. É um acelerador para inovação: quanto mais confiança na integridade do ambiente, mais rápido as empresas podem adotar novas tecnologias e explorar todo o potencial da nuvem.

No fim das contas, segurança e agilidade não são opostos. Pelo contrário — quando andam juntas, tornam-se a força motriz para que empresas avancem com coragem no mundo digital.

(*) O Relatório de Riscos de Segurança na Nuvem 2025 reflete as descobertas da equipe da Tenable Cloud Research com base na telemetria de cargas de trabalho em diversos ambientes corporativos e de nuvem pública, analisadas de outubro de 2024 a março de 2025.

Leia a matéria no Canaltech.

Fonte: Canaltech - Leia mais

The post Cibersegurança na nuvem: o maior risco pode estar naquilo que você “acha” seguro first appeared on Diario Tech News.

Mesmo com a crescente maturidade no uso de boas práticas de segurança em nuvem, muitas empresas ainda enfrentam um velho problema: o excesso de permissões e os acessos permanentes. De acordo com o Relatório de Riscos de Segurança na Nuvem 2025 (*) 83% das empresas que utilizam a Amazon Web Services (AWS) já configuraram serviços de Provedores de Identidade (IdPs), um avanço na centralização do controle de acesso.

No entanto, isso ainda está longe de significar segurança total, porque os IdPs são facilitadores, não garantidores de segurança. Permissões mal configuradas, acessos sem limite de tempo e políticas permissivas, continuam deixando brechas exploráveis por agentes maliciosos. A utilização da autenticação multifator (MFA) ainda é uma reclamação do usuário devido à sua complexidade. Além disso, permissões concedidas para tarefas temporárias muitas vezes permanecem ativas indefinidamente, ampliando a superfície de ataque de forma desnecessária.

Os principais provedores de nuvem já oferecem recursos nativos robustos de gerenciamento de identidade e acesso. O desafio, hoje, é mais cultural do que operacional. É preciso uma mudança de mentalidade para implementar o princípio do menor privilégio, adotar acesso just-in-time e realizar auditorias frequentes e automáticas nas permissões concedidas.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Também é fundamental entender que segurança de identidade é uma jornada contínua, especialmente em um ambiente onde os ataques se tornam cada vez mais sofisticados e exploram justamente configurações que escapam ao olhar humano. A adoção de boas práticas cresce, mas os riscos persistem justamente porque a configuração correta não é uma tarefa pontual, ela exige monitoramento constante, visibilidade e automação.

Se a identidade é o novo perímetro da segurança digital, garantir que ela seja bem gerida, não pode ser opcional, mas, sim, uma das principais prioridades.

(*) O Relatório de Riscos de Segurança na Nuvem 2025 reflete as descobertas da equipe da Tenable Cloud Research com base na telemetria de cargas de trabalho em diversos ambientes corporativos e de nuvem pública, analisadas de outubro de 2024 a março de 2025.

Leia a matéria no Canaltech.

Fonte: Canaltech - Leia mais

The post Por que ainda tropeçamos em permissões excessivas? first appeared on Diario Tech News.

No atual ambiente digital, a velocidade das ameaças cibernéticas superou a capacidade de muitas organizações em detectá-las, analisá-las e responder com a
agilidade necessária. Avaliações pontuais, ciclos esporádicos de escaneamento e a dependência de processos estáticos estão perdendo eficácia. A era da segurança intermitente ficou para trás. O conceito de Gestão Contínua de Exposição a Ameaças (CTEM), formalizado pelo Gartner, representa um avanço necessário e estratégico para organizações que buscam resiliência real — e não apenas conformidade.

Ao invés de trabalhar com a ilusão da segurança estática, o CTEM se ancora na realidade dinâmica das superfícies de ataque modernas. Em um cenário onde novas vulnerabilidades surgem diariamente, configurações mudam em tempo real e ativos são continuamente adicionados ou desativados. Depender de diagnósticos esporádicos é o mesmo que tentar proteger um alvo em movimento com uma fotografia antiga. O CTEM propõe um ciclo contínuo de visibilidade, análise e ação, permitindo que as organizações não apenas enxerguem suas exposições de risco atuais, mas também testem a efetividade de seus controles, priorizem com base no impacto ao negócio e automatizem respostas sempre que possível. Essa abordagem contínua transforma a gestão de risco cibernético em um processo vivo, adaptável e estrategicamente alinhado à operação.

Liderar exige postura contínua, não respostas pontuais

Como executivo em segurança cibernética, é evidente para mim que o principal desafio hoje não é a ausência de tecnologia, mas a fragmentação das soluções e a falta de continuidade na gestão de riscos. Muitas empresas acumulam ferramentas e relatórios, mas ainda tomam decisões com base em avaliações pontuais, incapazes de refletir a verdadeira dinâmica do ambiente digital.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

O estudo “O Estado da Gestão de Vulnerabilidades: Insights de Profissionais de TI e Segurança Cibernética”, elaborado pela Tenable, evidencia a desconexão entre o uso intensivo de ferramentas e a real capacidade de entender e priorizar riscos: atualmente, 74% das empresas utilizam pelo menos três ferramentas diferentes para corrigir vulnerabilidades — incluindo software de emissão de tickets (68%), ferramentas de colaboração (66%) e métodos ad hoc e manuais, como planilhas,
cálculos ou até mesmo e-mails (34%) — o que aumenta o risco de erros e atrasos nas soluções.

A filosofia do CTEM oferece uma alternativa pragmática. Ao transformar o gerenciamento de exposição em um processo contínuo, ele permite que líderes
priorizem com base em contexto, automatizem respostas e direcionem recursos de forma mais estratégica. Isso reduz o tempo de exposição, melhora a comunicação com stakeholders e fortalece a postura de segurança como um ativo de valor para o negócio.

Segurança real acontece em tempo real. Liderar com resiliência requer visibilidade constante, decisões baseadas em risco e capacidade de adaptação contínua. CTEM é, portanto, um imperativo estratégico para organizações que não querem apenas sobreviver às ameaças — mas prosperar em meio a elas.

Leia a matéria no Canaltech.

Fonte: Canaltech - Leia mais

The post Você controla o risco de exposição? Ou o risco controla você? first appeared on Diario Tech News.

Nos últimos anos, vimos crescer de forma descontrolada a quantidade de ferramentas de segurança adotadas pelas organizações. Em uma tentativa legítima de proteger seus ambientes, muitas empresas empilharam soluções pontuais — para vulnerabilidades, endpoints, cloud, identidades, aplicações — até chegarem ao ponto de operar com dezenas, às vezes mais de uma centena, de sistemas isolados. O que era para ser uma resposta à complexidade virou parte do problema.

Esse fenômeno, conhecido como sprawl de ferramentas de segurança, compromete a eficiência operacional, dificulta a visibilidade e enfraquece a tomada de decisão. As equipes gastam tempo demais conciliando planilhas, cruzando dados desconectados e lutando para responder perguntas básicas como: “Onde estamos mais expostos?” ou “Quais riscos realmente importam agora?”.

É nesse contexto que a gestão de exposição cibernética (Exposure Management) surge como uma abordagem transformadora. Não se trata apenas de mais uma solução, mas de um novo modelo mental: centralizar, correlacionar e priorizar dados de segurança para agir com foco no que realmente representa risco para o negócio.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

De silos operacionais a decisões baseadas em risco

O principal inimigo da eficácia em segurança hoje não é a ausência de tecnologia — é o excesso mal coordenado. Quando cada ferramenta opera isoladamente, surgem lacunas críticas: sobreposição de funções, baixa interoperabilidade, ruído informacional e falta de contexto. Como consequência, as equipes operacionais perdem tempo precioso com tarefas manuais e decisões mal-informadas.

A gestão de exposição atua justamente na costura desse ecossistema fragmentado. Plataformas modernas são capazes de ingressar dados de diversas fontes, deduplicar informações, normalizar indicadores e aplicar critérios consistentes de priorização com base em risco real. O resultado é uma visão contínua, integrada e contextualizada da superfície de ataque.

Eficiência, clareza e retorno sobre o investimento

Três pontos tornam a gestão de exposição particularmente valiosa para tomadores de
decisão:

1. Eficiência operacional – Ao consolidar fluxos de trabalho e eliminar tarefas repetitivas entre ferramentas redundantes, as equipes ganham tempo e foco.
2. Clareza estratégica – A centralização de dados permite respostas rápidas a perguntas críticas da liderança e auditorias.
3. Maximização do ROI – Com uma visão integrada, fica mais fácil identificar lacunas, sobreposições e oportunidades de racionalização no parque tecnológico de segurança.

O famoso princípio de Peter Drucker continua válido: “Você não pode gerenciar o que não pode medir.” E a verdade é que, sem expor claramente onde estão os riscos, nenhuma ferramenta isolada — por mais avançada que seja — pode garantir proteção eficaz.

Um chamado à ação para líderes de segurança

Gestão de exposição não é tendência: é maturidade. Ela representa o passo natural para empresas que já investiram em diversas ferramentas, mas agora precisam fazer mais com menos — e melhor.

A pergunta que deixo para líderes de segurança e tecnologia é simples: quantas das ferramentas que sua organização adquiriu realmente entregam valor mensurável hoje? E, mais importante, você tem visibilidade suficiente para saber?

Se a resposta for “não, talvez, acho”, esta é a hora de repensar a estratégia. A integração orientada por risco proposta pela gestão de exposição pode ser o elo perdido entre complexidade tecnológica e efetividade operacional.

Leia a matéria no Canaltech.

Fonte: Canaltech - Leia mais

The post A unificação da gestão de exposição como aliada estratégica da segurança digital first appeared on Diario Tech News.