© 2026 Coletivo Tech

 “Hoje se faz engenharia social com 5% do tempo de há dois anos e com qualidade 20 vezes superior”, afirma CISO da Asper

Vitor Cavalcanti 8 dezembro 2025 9:24 am

No cenário de cibersegurança do Brasil, onde os ataques são cada vez mais criativos e frequentes e desafiam qualquer empresa, o modelo tradicional de Security Operation Center (SOC) tem se tornado uma commodity que já não atende ao dinamismo do momento atual. Na prática, boa parte desses centros detectam problemas quando eles já aconteceram.Trabalhar abordagem mais ampla, proativa e com equipes multidisciplinares tem sido a estratégia da Asper para se destacar nesse cenário, como contou em entrevista ao Coletivo Tech, o CISO da empresa Theo Brazil. 

A ação da empresa, no entanto, vai além de uma abordagem que visa a ampliar a maturidade de segurança nas empresas e chega ao uso da automação por IA de forma inteligente, de maneira a não prejudicar a formação de talentos. Enquanto muitos provedores buscam a automação máxima para compensar a escassez de mão de obra (no Brasil fala-se em gap de 500 mil profissionais), a Asper adota uma estratégia de formação de novos profissionais que questiona a automatização total. O primeiro nível de suporte, que poderia ser 100% automatizado, tem processos que utilizam IA, mas segue com um time, já que essa camada, na visão do CISO, é fundamental para formar talentos em segurança da informação. 

Na conversa, Theo Brazil ainda falou sobre as ameaças da engenharia social, que deram um salto de sofisticação com IA, desafiando ainda mais os provedores de segurança, debateu a maturidade de ciber no contexto brasileiro e afirmou que os investimentos para o momento da computação quântica ainda são tímidos. 

Vitor Cavalcanti – Eu queria entender por que vocês dizem que o SOC de vocês tem um diferencial em relação à concorrência aqui no Brasil. O que vocês têm feito de diferente?

Theo Brazil – Eu trabalho de forma ininterrupta com serviços de SOC há 15 anos. Ele tem evoluído constantemente, mas o que a gente vê nos anos recentes é que, na prática, o SOC remete diretamente àquela operação que faz a monitoração de segurança do ambiente, ou seja, recebe logs e busca comportamentos anômalos para depois começar uma resposta a incidente. A gente vê inclusive que tem virado commodity e muitas empresas pegam uma sala, colocam duas televisões na parede, e dizem: eu tenho um SOC. É engraçado falar isso, mas é o que a gente vê no mercado.

Então, dado esse contexto, qual que é a nossa proposta? Primeiro, toda a questão de infraestrutura. Hoje a gente tem um dos maiores SOCs do Brasil. Mas eu costumo falar para muitos clientes que a parte de infraestrutura física é o mais simples, que basicamente você compra um escritório, instala um monte de televisão, bota um monte de gente ali e acabou. O mais importante é a parte de processo e tecnologia. 

O grande diferencial está nos processos e nas pessoas. O que que nós fazemos diferente aqui? Primeiro, nós temos o nosso serviço de SOC, mas nos o chamamos de Cyber Fusion Center (CFC). Por quê? Porque um CFC vai muito além, ele engloba outras disciplinas de segurança além do SOC. No nosso CFC, a gente tem o SOC, que faz o monitoramento, avalia os logs dos nossos clientes, comportamentos com automação e, em paralelo, temos, por exemplo, nosso time de segurança ofensiva, que faz testes de segurança de forma ofensiva, atacando, enquanto a gente defende. Tem também o time de identidade; então, a gente tem times multidisciplinares, que vão além de somente monitorar.

A gente monitora, ataca e faz toda a proteção das identidades, temos ainda um time específico que é voltado só para a parte do gerenciamento das ferramentas, porque o que a gente vê é que quando você faz só a detecção, você está sendo muito reativo

VC – Você pode me dar um exemplo?

TB – A gente vê que muitos ataques hoje acontecem porque faltou, por exemplo, uma segunda camada de autenticação, a MFA (sigla para autenticação multifator), nos usuários. Antes de detectarmos um comportamento, por exemplo, de uma invasão que teve, nós abordamos nosso cliente e falamos: “como é que está sua camada de proteção de identidade? Você está com MFA? Quantos por cento? Quais são os usuários que estão sem?” 

De forma proativa, agimos para garantir que eles tenham maturidade de segurança melhor nas ferramentas, porque quando você detecta, você está detectando o que já passou pelas ferramentas, mas se você alimentou o sistema com boas práticas de segurança, revisão de regra, de configuração etc., você vai impedir que muitos incidentes aconteçam. Muitos incidentes poderiam ser evitados se a gente tivesse feito uma camada preventiva mais eficiente.

VC – A gente vê muita discussão julgando como baixa a maturidade de segurança no Brasil. Você tem aí os outsiders como o setor financeiro, por exemplo. Setores que são mais regulados acabam investindo mais, mas, no geral, se fala que a maturidade é muito baixa. Você também está nesse time? O que que precisa fazer para alavancar esse tema?

TB – Nos últimos anos a gente teve regulamentações como a LGPD. Mas o que a gente viu é que poucos de fato foram afetados ali do ponto de vista de regulamentação e de pegar a regra e começar a aplicar multas; foram casos esporádicos. A camada de conscientização da alta gestão é o principal e um dos mecanismos dessa conscientização da alta gestão é exatamente essa punição das regulamentações. 

Outra coisa que a gente já vem notando no mercado é o de utilizar a segurança como um diferencial competitivo. Então, vou dar um exemplo prático aqui. Temos algumas seguradoras que são clientes nossos, e a própria seguradora coloca na landing page dela, por exemplo, que ela tem uma segurança robusta, que ela é auditada, que ela tem X, Y, Z. Empresas de outros ramos também podem utilizar isso, a maturidade de segurança como diferencial competitivo. Isso é uma coisa que está começando a surgir agora, ainda é esporádico. Mas acho que tende a ser um uma ferramenta que pode ajudar muito a evoluir a maturidade aqui do Brasil.

Criatividade para fraude e engenharia social

VC – Você trouxe o setor de seguros que também acaba tendo mais orçamento aplicado em tecnologia e segurança, assim como o setor financeiro, que tem um investimento bastante robusto. No caso dos bancos, existe alguma razão específica para essa maturidade? Claro que regulamentação e lidar com dinheiro já seriam suficientes, mas o que mais puxa esse movimento? E pergunto por que mesmo com muito investimento, vez ou outra temos notícias de golpes.

TB – É fato que no Brasil o setor financeiro é o setor que puxa a nossa maturidade para cima. Ele de fato investe muito e uma das suas perguntas, do porquê o setor financeiro investe tanto em segurança, a gente tem de tudo. Isso se dá principalmente por uma característica do Brasil, que é a nossa criatividade para fraude. E fazendo um parêntese, porque eu estou muito presente em fóruns e no mercado internacional e troco muito com empresas e líderes do mercado norte-americano, é engraçado quando converso com essas pessoas e falo sobre tipos de golpes e de fraudes que a gente tem aqui no Brasil e vejo que é inimaginável para eles.

Então, só pegando um pouco desse gancho para exemplificar um dos motivos e o principal motivo pelo qual a gente tem um investimento grande no setor financeiro. Diferentemente de outros países, por exemplo, da América do Norte, existem golpes aqui, fraudes aplicáveis que são inimagináveis, você não vê isso em nenhum outro lugar do mundo, literalmente. Para combater essa criatividade do criminoso brasileiro, a gente precisa de tecnologias de ponta. Outro caso prático, uma empresa, por exemplo, no setor financeiro, contrata uma ferramenta de ponta – geralmente as principais são ou americanas ou israelenses – e muitas vezes a gente implementa a ferramenta aqui e precisamos fazer um monte de solicitações de melhorias para que a gente possa utilizar com as nossas fraudes. 

A ferramenta não foi desenvolvida, arquitetada para esse tipo de funcionalidade que a gente tem aqui devido ao nosso cenário. Esse é o principal fator pelo qual a gente que tem esse investimento tão grande e é o principal fator pelo qual, apesar de investimentos tão grandes, a gente tem quantidade de golpes que a gente tem hoje em dia; a criatividade do brasileiro é algo incrível.

VC – E piorou com IA? Porque parece que ela deu uma impulsionada na criatividade, já que você não precisa nem ser tão técnico para poder lançar algum ataque mesmo que seja o mais bobinho.

TB – A maior dor com IA, do ponto de vista da defesa, é na camada de engenharia social, porque como você mesmo disse, para você fazer uma engenharia social robusta há dois anos, por exemplo, você precisava de um investimento de tempo para elaborar um ataque e, ainda assim, não ficava perfeito. Hoje em dia você faz um phishing, que é o voice phishing, pegando entrevistas gravadas, por exemplo, no YouTube, copia a voz de personalidades, de CEOs, faz uma gravação falando o que você quiser, usando a voz da pessoa, usando inclusive o vídeo da pessoa. Esse tipo de tecnologia está sendo utilizada principalmente para essa engenharia social, por meio de imagem, áudio etc. Eu lembro inclusive que há anos a gente até conscientizava os usuários e as empresas naquele cenário de olha, preste atenção, tem um monte de erro de português naquela mensagem. Nos ataques atuais não tem isso. A gramática é perfeita com IA.

O mais curioso é que não estamos falando de comparação com 10, 20 anos atrás, estamos falando de 1, 2 anos atrás; e você vê esse salto gigantesco. Então para você fazer um ataque de engenharia social há dois anos, você precisaria investir, sei lá, 100 horas para elaborar a campanha, para fazer perfeito. Hoje em dia, com menos de 10%, 5% desse tempo, você faz com uma qualidade 20 vezes superior. Então, esse aspecto foi o que mais pegou do ponto de vista da inteligência artificial. 

Como que a gente se defende disso? A gente tem que fortalecer muito mais as contramedidas. Se antes a nossa camada humana já iria falhar, hoje em dia, ela falha o tempo todo, porque esses golpes estão cada vez mais avançados. A gente precisa ter camadas adicionais ali, por exemplo, de reputação no domínio, enfim, ferramentas auxiliares, porque quando o usuário cai nesse golpe, a gente precisa de fato ter ferramentas em processo para ter a capacidade de defender as outras.

Automação e novos talentos

VC – Estamos falando dessa parte que é a ruim da IA, no caso da segurança, que vem facilitando ataques. Mas tenho visto muita gente automatizando algumas funções em segurança. Você mesmo trouxe aqui que a checagem humana já não é suficiente, não só pela quantidade, mas até pela perfeição dos ataques. Quando você pensa na sua operação, tem alguma camada que você consegue ou que ela já esteja automatizada por IA?

TB – Na verdade, te digo que todos os níveis, independentemente se o TIER 1, TIER 2, todos eles têm camadas de automação. Por uma decisão estratégica, nós não automatizamos o TIER 1 por completo. E não é por uma questão tecnológica, porque, é totalmente factível. Muitas empresas adotaram uma automatização completa desse primeiro nível de atendimento. O que a gente adota aqui como estratégia é que a gente automatiza as rotinas, mas a gente não automatiza por completo. E você pode pensar: vocês estão deixando uma oportunidade aí. Por que vocês continuam com esse nível um de atendimento se pode ser automatizado? 

Porque para nós, como uma empresa de consultoria, é estratégico. Um dos nossos principais ativos são nossas pessoas e esse nível de atendimento é importante para formar essas pessoas, porque um dos grandes desafios da área de segurança é justamente a lacuna de talentos especializados que a gente tem. Então, imagina um cenário onde eu, como empresa de consultoria, formador de talentos, automatizo completamente essa minha camada; vou perder estrategicamente uma capacidade de formação de novos talentos para esse mercado. Mas cada empresa adota sua estratégia. 

Vou dar um exemplo prático daqui. No passado, por exemplo, eu tinha um analista de atendimento nessa primeira camada que ele gastava 60 a 70% do dia redigindo e enviando e-mail para os clientes. Hoje, isso não existe mais. Todos os envios de e-mail de comunicação, de alertas, de incidentes etc. são automatizados. O que que eu consigo com isso? Mais qualidade. Eu não preciso pegar o tempo dessa pessoa para uma atividade repetitiva, que não agrega muito ali, mas eu a mantenho ali fazendo triagem, tendo uma avaliação, utilizando IA inclusive para que ela comece a entender o dia a dia, vai formando para depois essa pessoa virar pleno, sênior.

VC – Interessante sua abordagem porque tem várias discussões em relação à automação dessas funções mais básicas que funcionam como escola. Ninguém sai de uma universidade pleno ou sênior. E falando ainda nessa questão de talento, o quanto a falta de talentos no Brasil impacta sua estratégia? Tem gente que fala em um gap de 500.000 pessoas em segurança.

TB – Impacta demais, é um dos maiores desafios que a gente tem. Mas a gente tem algumas estratégias. Uma, que a gente já vem fazendo há alguns anos, é essa camada de automatização. Então, com o crescimento do negócio quanto mais automatizado a gente for, melhor, porque eu tenho uma necessidade menor de contratar pessoas. O que a gente faz além disso é essa camada N1 júnior, a gente muitas vezes contrata pessoas que não são tecnologia. A gente gosta inclusive dessa diversidade porque é uma formação. Então a gente contrata pessoas ali que às vezes acabaram de sair da faculdade ou estão cursando, que não são da área de tecnologia. A gente foca em soft skill e em inglês e o técnico a gente vai formar aqui dentro de casa. 

VC – Eu queria voltar na questão do serviço gerenciado de segurança, para entender o contexto brasileiro, porque tem gente que que opta por internalizar essa operação 100%. Tem gente que opta por fazer o outsourcing completo disso e daí você tem os benefícios e os e os contras, e tem gente que vai num híbrido. O que que você tem mais visto por aqui? E onde que vocês entram? 

TB – Nós temos os três casos aqui. O que a gente mais vê hoje no mercado é o híbrido, onde a empresa opta por manter geralmente um time mais enxuto, exatamente por conta do desafio com a mão de obra especializada. Por exemplo, o cliente final mantém ali uma, duas pessoas em nível sênior e utiliza parceiros o N1, o N2 e o N3. O especialista interno faz revisão, avalia, direciona o time. Esse é o que a gente mais vê de forma volumétrica aqui de contratos. 

Empresas que estão fazendo 100% dentro de casa são poucas, exatamente pelo desafio de mão de obra especializada. E uma empresa de porte médio a grande tem, em média, de 15 a 20 tecnologias (de segurança) diferente. A segurança é feita em camadas, como se fosse uma cebola mesmo. Então você tem ali diferentes ferramentas. Então, eu tenho, por exemplo, no meu computador agora, uma ferramenta de antivírus. Quando eu vou, por exemplo, trafegar um arquivo na rede, eu tenho a ferramenta de DLP, eu tenho firewall, eu tenho o link de internet. São muitas camadas que vão se acumulando e uma empresa de porte médio grande tem em média por aí 15 ferramentas. Imagina o cliente com um especialista para cada uma dessas ferramentas. É inviável porque o custo fica muito alto.

Futuro quântico

VC – E é complexo, né? Porque você citou essa questão das ferramentas. Eu lembro que uma vez eu conversei com um integrador de segurança, ele falou: “Cara, você pode ter até 40 ferramentas e colocar isso para conversar, fazer a interação disso não é trivial”. Você já pegou casos tipo de gente que fazia interno e estava aquele caos? Pergunto por que existe o desafio do talento, mas também da própria gestão de ferramenta.

TB – Sim. E a gente tem caso, inclusive, que a gente fez o full outsourcing de um contrato que era 100% internalizado. A gente tem alguns contratos aqui onde tenho 60 pessoas dedicadas para esse cliente. É uma empresa muito grande. Esse é um caso de full outsourcing. O cliente não tem nenhuma pessoa técnica do lado dele, é 100% o nosso time e a gente conta com aproximadamente 60 pessoas dedicadas só para essa operação. 

Nesses casos de full outsourcing, como que o cliente também se resguarda do ponto de vista de qualidade? Ele tem métricas de SLA, de contrato, que ele acaba tendo relatórios que a gente gera de forma esporádica para que ele consiga acompanhar como que ele está. Mas existem casos em que o cliente tem 100% internalizado e aí viu que viu que não dava certo e é muito mais definição também do próprio cliente de optar por fazer o outsourcing ou não. Na prática, ele não consegue redução de custos. Como eu falei, é muito difícil, especialmente uma empresa muito grande, essa empresa que citei tem mais de 30 ferramentas diferentes.

VC – E o quanto computação quântica já é uma preocupação? Ou a cabeça está 100% em IA e quântica está adormecida?

TB – O que dá mais dor de cabeça hoje é IA. Mas não dá para você ignorar o advento da computação quântica, porque como eu falei da abordagem, né? Se a gente for esperar para reagir quando começar as primeiras quedas de fotografia etc., com quântica, vai ser tarde demais. A gente já começa a traçar estratégias e tecnologias, inclusive conversar sobre isso com os clientes, mas não é algo hoje que está na crista da onda como a IA. Inclusive os próprios investimentos, em se preparar para a computação quântica, ainda estão tímidos. São pouquíssimas as empresas hoje que estão de fato se preocupando com isso.

Tags:

Anterior
Próximo

Sem comentários registrados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Assine Nossa Newsletter


Conteúdos Recentes

Assine nossa Newsletter

contato@coletivo.tech

Política de PrivacidadeTermos e Condições

© 2026 Coletivo Tech