Existe um padrão que se repete com frequência demais na história dos fracassos organizacionais para ser mera coincidência: um sistema que funciona sem problemas por muito tempo gera confiança. Essa confiança vai, aos poucos e de forma silenciosa, corroendo a vigilância que permitiu que o sistema funcionasse bem desde o início. E é justamente aí que o sistema falha, no exato momento em que todos os envolvidos garantiam que ele estava em ótimas condições.

Por mais contraintuitivo que pareça, a própria estabilidade pode ser desestabilizadora: ela incentiva a acomodação, leva à redução de investimentos em preparação e, como consequência, aumenta a distância entre o risco real e o risco percebido. O autor Morgan Housel resumiu esse padrão em algumas palavras: “a calmaria planta as sementes da loucura”.

A calmaria surge quando se acredita que o perigo já passou e que os sistemas responderam bem. Isso abre espaço para comportamentos que reintroduzem o risco, como a suposição implícita de que “se nada aconteceu, então nossos controles devem ser excelentes”.

Mas, em alguns casos, essa conclusão se baseia apenas na ausência de sinais detectados, e não na certeza de que o risco não existe. Sob outra perspectiva, a falta de um incidente visível é apenas silêncio, e o silêncio pode significar muitas coisas. Uma empresa com histórico impecável pode, de fato, ter defesas de alto nível. Mas também pode simplesmente não ter chamado, até agora, a atenção de cibercriminosos mais determinados, afinal, há muitos alvos possíveis.

Isso levanta pelo menos duas perguntas importantes: você sabe que o seu ambiente é tão seguro quanto poderia ser diante das ameaças atuais? Ou você apenas sabe que os seus controles básicos estão implementados? Muitas organizações respondem à segunda pergunta achando que responderam à primeira. Elas podem se apoiar em normas ou padrões de conformidade, que nem sempre avaliam se as medidas são realmente eficazes contra as ameaças ativas de hoje. Assim, uma empresa pode estar em conformidade e, ainda assim, exposta. Também é possível enxergar aqui a famosa “paradoxo do gato de Schrödinger”.

Mais armadilhas

O estado formal da cibersegurança de uma organização é fácil de medir e, se tudo parece estar em ordem, também é fácil se sentir tranquilo com isso. Já saber se as credenciais de acesso de um funcionário estão circulando em mercados da dark web, ou se a ferramenta de EDR da organização pode, em determinadas circunstâncias, ser manipulada por uma “anti-ferramenta” facilmente disponível, é muito mais difícil de avaliar sem olhar para lugares que muitas empresas normalmente não consideram.

De fato, a tendência humana, na ausência de uma correção deliberada, é se apoiar nas informações mais facilmente disponíveis para construir o que acredita ser uma história coerente. Isso acontece em detrimento das informações mais difíceis de obter, sem muita reflexão sobre qual delas é realmente mais relevante. De forma crucial, a mente não sinaliza o que está faltando: a imagem é percebida como completa, e a confiança parece justificada mesmo assim. O falecido psicólogo Daniel Kahneman criou um acrônimo para esse hábito: WYSIATI (What You See Is All There Is, ou “o que você vê é tudo o que há”).

O problema pode se agravar ainda mais quando consideramos como muitos tomadores de decisão enxergam o risco: se algo não pode ser medido, então não importa. Na prática, costuma ocorrer o oposto, a ponto de essa forma de pensar ser, em si, uma falácia. Sem insistir demais nesse ponto, basta dizer que, uma vez identificadas algumas dessas armadilhas, não dá mais para “deixar de vê-las”.

No Data Breach Investigations Report 2025, a Verizon trouxe números que mostram o tamanho da diferença entre a segurança percebida e a exposição real: 54% das vítimas de ransomware tiveram seus domínios registrados em pelo menos um log de infostealers ou em publicações de mercados ilícitos antes do ataque. Ou seja, os dados de acesso já estavam circulando, e em alguns casos a brecha pode até já ter ocorrido, enquanto tudo parecia estar sob controle.

Esse tipo de ponto cego afeta ainda mais as empresas cujas ferramentas de segurança não conseguem detectar sinais de comportamento de cibercriminosos, como tentativas de desativar processos de proteção. Corrigir isso exige mudar o que se torna visível e adotar as ferramentas certas, que vão além de apenas confirmar que os controles estão implementados e que consigam alertar quando algo no ambiente começa a se comportar de forma suspeita.

Quando a confiança é quebrada

Tudo isso também é relevante porque uma intrusão de ransomware é um evento que afeta diretamente a continuidade dos negócios, com impactos que se estendem por toda a operação. Quando a Change Healthcare foi vítima de ransomware em 2024, os efeitos indiretos sobre hospitais e farmácias duraram meses, sem falar que o incidente atingiu quase toda a população dos Estados Unidos. O custo total foi estimado em cerca de 3 bilhões de dólares. Um ataque de ransomware contra a Jaguar Land Rover em 2025 provocou um prejuízo financeiro semelhante.

Por sua vez, a IBM estima que o custo médio de uma violação de dados gira em torno de 5 milhões de dólares, considerando tempo de inatividade, recuperação e prejuízos associados. No caso específico de organizações de saúde, esse valor se aproxima dos 10 milhões. E esses números não incluem os impactos de longo prazo, como contratos que deixam de ser renovados ou o aumento significativo nos custos de seguros.

Os prejuízos se acumulam ao longo de meses, ou até anos, especialmente quando os dados roubados acabam em sites de vazamento de dados, algo cada vez mais comum. A exposição pública de informações corporativas gera uma nova crise, já que contratos, e-mails e dados pessoais divulgados passam a ser usados como base para ataques posteriores, como phishing e fraude por comprometimento de e-mail corporativo, conhecido como BEC.

As obrigações regulatórias também entram em cena rapidamente. Ao mesmo tempo, clientes e parceiros começam a fazer perguntas que, muitas vezes, a empresa ainda não consegue responder. E há um outro ponto que as equipes de cibersegurança precisam considerar: os dados publicados mostram apenas o que os criminosos decidem expor. Estima-se que apenas uma pequena parte das vítimas de ransomware tenha seus dados efetivamente divulgados nesses sites.

Disciplina é importante

Além de contar com as ferramentas e as pessoas certas, manter a cibersegurança ao longo do tempo depende do hábito de observar e se adaptar. Isso passa pela consciência do que está acontecendo no cenário de ameaças, assim como dentro do próprio ambiente de TI da organização.

É verdade que manter uma vigilância constante na ausência de uma ameaça visível e imediata tem um custo, especialmente do ponto de vista psicológico. Não estamos naturalmente preparados para permanecer em alerta diante de eventos que não parecem iminentes, e o deslocamento em direção à acomodação acontece de forma tão gradual que raramente é percebido como uma decisão consciente.

Mas, assim como o lado ofensivo nunca para, o defensivo também não pode parar. A inteligência de ameaças, especialmente aquela que traz um grande volume de sinais sobre campanhas ativas, é a base dessa consciência. É isso que as ferramentas de segurança conseguem transformar em detecções e alertas, permitindo que as equipes de cibersegurança ajam no momento certo. Sem isso, a distância entre o que uma organização acredita sobre sua segurança e o que realmente acontece pode continuar aumentando, até que os cibercriminosos a reduzam, a um custo alto.