Executivos enfrentam uma pressão avassaladora no instante em que um ataque de ransomware atinge a empresa. As áreas de negócio querem saber quando seus serviços e produtos estarão online novamente; o Board exige garantias de que a situação está sob controle e que as obrigações regulatórias estão sendo cumpridas; e, enquanto isso, os clientes se preocupam com o vazamento de seus dados e começam a olhar para a concorrência.
Na ânsia de tranquilizar os stakeholders e evitar um barulho negativo na mídia, os executivos muitas vezes pressionam para que os sistemas de TI sejam restaurados o mais rápido possível. Um grande erro. Isso não apenas costuma gerar o resultado oposto — maior tempo de inatividade e danos à reputação — como também aumenta o risco de uma reinfecção e de uma recuperação ainda mais prolongada.
Para as equipes de cibersegurança, a situação costuma ser pior. Presos entre a necessidade de seguir processos para uma recuperação segura (garantindo que não estão restaurando vulnerabilidades, falhas de detecção e artefatos do ataque que resultarão em um novo incidente) e a pressão urgente da diretoria, esses profissionais se veem entre a cruz e a espada. Apesar das boas intenções, às vezes acabam pulando etapas críticas. Ao reiniciar os sistemas e descobrir que os invasores ainda estão presentes, o downtime continua e é a equipe técnica que acaba na linha de fogo.
Parte do desafio pode ser vista em um estudo de 2024 da Viking Cloud. Ele revelou que 81% dos executivos C-level de cibersegurança se sentem confiantes na maturidade da defesa cibernética de suas organizações. No entanto, apenas 29% dos gerentes de segurança da linha de frente concordam. Inegavelmente, há uma desconexão.
É por isso que, quando ocorre um ransomware, os executivos no Brasil costumam se surpreender com a escala e a dificuldade de superá-lo. Mesmo armados com planos de resposta a incidentes, eles não estão preparados para o caos, os atrasos e a necessidade de uma colaboração estreita entre as equipes de TI e segurança.
O que falta é um benchmark transparente e padronizado em todo o setor para resposta e recuperação de ransomware. Um referencial confiável forneceria dados globais e regionais acessíveis, definindo expectativas não apenas sobre a rapidez com que a recuperação para um estado seguro deve ocorrer, mas também etapas claras e acionáveis de como os sistemas devem ser trazidos de volta online com segurança — com estimativas de tempo.
O objetivo? Ajudar empresas e executivos a entenderem onde estão no cronograma de resposta e recuperação com base nas médias do mercado brasileiro, e dar às equipes de cibersegurança um ponto de referência para argumentar quando a liderança se torna excessivamente intervencionista.
Como o benchmark funcionaria?
Um benchmark do setor revelaria tempos médios de contenção, durações de remediação, valores médios de resgate pagos e a frequência de ataques dentro de setores específicos.
Atualmente, não existem benchmarks de padrão industrial reais para resposta e recuperação de ransomware, particularmente nenhum que divida o processo em etapas claras e acionáveis. Estatísticas e relatórios do setor agregam alguns desses dados de forma limitada e fornecem um quadro de referência útil, mas, em última análise, não são tão abrangentes quanto precisamos.
Normas brasileiras recentes demonstram como um benchmark de ransomware poderia funcionar na teoria. O exemplo mais robusto vem do setor financeiro com a Resolução CMN nº 5.274/2025, que entra em vigor em 1º de março. Ela exige que as instituições financeiras não apenas possuam políticas de segurança cibernética, mas que realizem testes de continuidade e mantenham planos de resposta a incidentes aprovados pela diretoria. Adicionalmente, a Resolução CD/ANPD nº 15/2024 estabeleceu prazos claros para a comunicação de incidentes.
Como funciona? Sob a regulamentação da ANPD, quando há um incidente que gera risco ou dano relevante — incluindo a perda de disponibilidade de dados por ransomware — a organização deve enviar uma notificação inicial em até 3 dias úteis. O Banco Central, pela nova norma de 2025, reforça a necessidade de compartilhamento de incidentes para fortalecer a resiliência de todo o setor.
Isso dá aos reguladores uma visão abrangente e oportuna dos principais incidentes, ajudando a rastrear tendências e promover transparência. Embora os reguladores não permitam que as empresas façam o benchmark direto contra esses dados confidenciais, eles emitem orientações baseadas neles sobre como responder às ameaças.
Extrapolando essa ideia, uma legislação de notificação formal — alinhada à Estratégia Nacional de Cibersegurança (E-Ciber) — compeliria as organizações a criarem um benchmark confiável. Com divulgações estruturadas e prazos definidos (que geram multas se descumpridos), poderíamos ir além de estatísticas isoladas em direção a uma discussão transparente sobre cronogramas de recuperação e prontidão organizacional. Isso ajudaria as organizações a se avaliarem pela maturidade da resiliência, não apenas pelos resultados de recuperação, permitindo entender como podem resistir e responder a incidentes ao longo do tempo.
Fornecendo um roadmap claro
Um benchmark setorial dessa natureza ajudaria executivos a entender sua posição na jornada e permitiria comparações entre pares, mas, talvez mais importante, desafiaria a crença de que existe um “botão mágico” que as equipes de segurança podem apertar para colocar tudo em funcionamento de forma rápida e segura. Diferente de um evento tradicional de continuidade de negócios, o processo de resposta e recuperação também exige tempo para investigação e remediação de ameaças, o que inevitavelmente estende o cronograma.
Para as equipes de cyber, isso proporcionaria fôlego e estatísticas respeitáveis, mostrando que a resposta ao ransomware deve ser medida pelo dwell time, tempo de detecção, tempo de contenção, integridade dos dados e o tempo de restauração sem reinfecção. Dados detalhados sobre o risco de reinfecção mostram que, uma vez que os invasores estabelecem persistência, as organizações podem recuperar os sistemas, mas não o controle total do ambiente. Quando os atacantes se instalam profundamente, torna-se extremamente difícil determinar a extensão de backdoors ocultas e artefatos residuais.
Por que tudo isso é importante? Lembro-me de The Checklist Manifesto (O Manifesto do Checklist), de Atul Gawande. A premissa é simples: não importa o quão especialista você seja, um checklist bem desenhado pode melhorar os resultados. Em vez de sugerir que checklists são a cura para todos os problemas, o livro mostra que um checklist cuidadosamente considerado nos ajuda a desacelerar e focar nos detalhes críticos.
Na ausência de um benchmark padrão aceito pelo mercado brasileiro — que pode vir a médio prazo com a evolução da regulamentação nacional — as empresas devem coletar esses dados internamente e criar seu próprio referencial. Os benefícios são os mesmos e garantem que todas as partes estejam alinhadas. Pela questão da responsabilidade e governança (accountability), publique esse roadmap.
Sim, podemos ver benchmarks formalizados de ransomware no futuro, até mesmo novas regulações da ANPD — mas é improvável que isso aconteça de imediato. É melhor coletar dados internamente e garantir o apoio dos stakeholders. Educar o C-level sobre o devido processo significa que, quando um incidente ocorrer, eles entenderão por que as equipes desaconselham a pressa para voltar o sistema online, priorizando a minimização do risco de reinfecção.
Visibilidade vence a velocidade
Você pode injetar todo o dinheiro do mundo em um problema de ransomware, mas a resiliência cibernética não é algo que se compra, é algo em que você se transforma. Não apenas por ter a tecnologia e as pessoas certas, mas por aplicá-las da maneira correta.
Executivos, mesmo com o melhor interesse da empresa em mente, muitas vezes “perdem a floresta de vista por causa das árvores”. A visibilidade sobre os procedimentos de ransomware — seja por meio de um benchmark oficial do setor ou de uma abordagem interna — ajuda a garantir que todos estejam na mesma página.
*Por Gustavo Leite, VP da Cohesity para América Latina e Caribe.
