Contato
Quem Somos
Quero Patrocinar

Cibersegurança como Política Pública: Parcerias Público-Privadas

No mundo da Cibersegurança, a improvável amizade entre poder público e iniciativa privada tornou-se não apenas possível, mas absolutamente necessária. Isso porque ambos são lados opostos de uma mesma moeda, sendo capazes de unir agilidade e eficiência com o poder regulamentador. Nesse artigo, o CISO do Governo Digital de São Paulo, Julio Signorini, explora as características, as vantagens e os desafios das alianças entre a indústria Cyber e o governo

Compartilhar:

Por Julio Signorini*

 

Parcerias público-privadas em cibersegurança: quando governo e empresas decidem ser amigos no Meta Facebook da vida real

Se existe algo mais improvável que ver um gato e um rato dividindo um prato de comida, é testemunhar governos e empresas privadas colaborando eficientemente sem uma crise de proporções catastróficas como catalisador. No entanto, no mundo da cibersegurança, essa improvável amizade tornou-se não apenas possível, mas absolutamente necessária. É como aquele momento em que você percebe que precisa fazer as pazes com o vizinho barulhento porque, afinal, vocês dois estão sendo roubados pelo mesmo ladrão.

 

Em meados de 2025, as ameaças cibernéticas evoluíram tanto que nem mesmo os governos com seus orçamentos bilionários e nem as empresas com suas equipes de elite conseguem enfrentar sozinhos o tsunami digital de malwares, ransomwares, APTs (Ameaças Persistentes Avançadas) e outras criaturas malignas do zoológico cibernético. Como diria o CISO depois de consertar pela milésima vez o computador da família: “Nem todo o dinheiro do mundo compra segurança se você continuar clicando nos e-mails de flerte do Sheik árabe.”

 

O inusitado casamento entre o elefante e a gazela

Governos e empresas privadas são entidades tão diferentes quanto um elefante e uma gazela. Um é grande, poderoso, mas move-se com a velocidade de uma atualização de Microsoft Windows; o outro é ágil, inovador, mas muitas vezes tão frágil quanto seu iPhone sem capinha. Quando se unem em parcerias de cibersegurança, é o mesmo que assistir a um reality show onde participantes com personalidades opostas precisam construir juntos uma fortaleza digital.

 

O governo traz para a mesa sua capacidade reguladora, poder de aplicação da lei e, muitas vezes, inteligência (sim! existem muitos profissionais excelentes no mundo gov). As empresas, por sua vez, contribuem com agilidade, conhecimento técnico de ponta e uma compreensão íntima de suas próprias vulnerabilidades – algo semelhante a admitir publicamente onde você esconde a chave reserva da sua casa.

 

Como observou a maga cibernética Maggie Wilderotter: “As parcerias público-privadas são como casamentos arranjados no século 21 – ninguém estava realmente ansioso por isso, mas todos concordam que é provavelmente a coisa mais sensata a fazer.”

 

A economia da troca de figurinhas digitais: o ISAC e outros modelos de compartilhamento

Lembra quando você trocava figurinhas da copa no recreio da escola? “Tenho três do Neymar, troco por uma do Richarlison.” Os Information Sharing and Analysis Centers (ISACs) funcionam de forma semelhante, porém estamos falando de indicadores de comprometimento, vetores de ataque e vulnerabilidades zero-day.

 

Estes centros setoriais permitem que empresas do mesmo ramo – bancos, saúde, energia – compartilhem informações sobre ameaças sem medo de expor suas fraquezas para concorrentes diretos. É basicamente um grupo de autoajuda para vítimas de ataques cibernéticos. “Olá, meu nome é Banco XYZ, e ontem fui vítima de um ataque DDoS.” “Olá, Banco XYZ!”.

Nos EUA, o modelo evoluiu para o CISA (Cybersecurity and Infrastructure Security Agency), que atua como uma espécie de maestro coordenando a orquestra de defesa cibernética. No Brasil, como já mencionado em outros textos, o CTIR Gov (Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo) tenta fazer papel semelhante.

 

O setor financeiro foi pioneiro nesse modelo com o FS-ISAC (Financial Services Information Sharing and Analysis Center). Faz sentido – quando se trata de dinheiro, até os bancos rivais conseguem superar suas diferenças. É como ver Sport Club Corinthians Paulista e S.E. Palmeiras unidos contra um árbitro que prejudica ambos.

 

DORA explora: quando a UE decide que bancos precisam de amigos de verdade

Entre as tentativas mais ambiciosas de forçar parcerias público-privadas eficazes, o DORA (Digital Operational Resilience Act) da União Europeia merece um emoji de troféu. Entrou em vigor em janeiro de 2023 e se tornou aplicável a partir de 17 de janeiro de 2025, o DORA é basicamente a UE dizendo ao setor financeiro: “Olha, sabemos que vocês detestam compartilhar seus problemas, mas agora é lei. Sentem-se e conversem, ou vamos aplicar multas tão grandes que seus acionistas terão pesadelos.”

 

No literal, o DORA força instituições financeiras a estabelecer parcerias com seus fornecedores de tecnologia e autoridades reguladoras para garantir que, quando um sistema digital falhar (não é “se”, mas “quando”), todos saibam exatamente o que fazer.

 

Entre os requisitos mais interessantes está a obrigatoriedade de testes de penetração avançados liderados por “red teams” – essencialmente hackers éticos contratados para invadir sistemas bancários. Outro aspecto revolucionário é provavelmente seu foco na gestão de terceiros. As instituições financeiras agora são responsáveis não apenas pela própria segurança, mas também pela dos fornecedores críticos. Parece injusto? Bem-vindo ao mundo interconectado de 2025.

 

Quando totalmente implementado, o DORA criará um ecossistema onde bancos, seguradoras, processadores de pagamento e seus fornecedores de tecnologia serão forçados a compartilhar informações e coordenar respostas como uma grande família disfuncional em um feriado prolongado: ninguém está realmente feliz em estar ali, mas todos sabem que é necessário.

 

A dança da confiança: três passos para frente, dois para trás

O maior desafio nas parcerias público-privadas em cibersegurança não é tecnológico, mas humano: confiança. As empresas temem compartilhar informações que possam expor suas fraquezas, prejudicar sua reputação ou até mesmo resultar em processos. Os governos, por sua vez, relutam em revelar capacidades de inteligência que possam comprometer suas fontes e métodos.

 

A implementação do GDPR na Europa e a LGPD no Brasil adicionaram camadas extras de complexidade. Agora, além de se preocupar se alguém vai usar suas informações contra você, precisa se preocupar se o compartilhamento está em conformidade com as regulamentações. É tentar dançar “sofrência” com alguém enquanto o professor fica gritando regras no seu ouvido.

 

Case Study: O caso emblemático da Equifax

Em 2017, após um dos maiores vazamentos de dados da história, afetando mais de 147 milhões de pessoas, a empresa demorou semanas para notificar as autoridades. Por quê? Bem, além do medo de danos reputacionais, havia um labirinto de regulamentações sobre quem, como e quando notificar.

 

O xadrez dos incentivos: quem paga o almoço “grátis”?

Criar e manter parcerias eficazes em cibersegurança custa dinheiro – e ninguém quer ser o único a pagar a conta. Como dizem os economistas, há um problema clássico de “free-rider”: todos querem se beneficiar da segurança coletiva, mas preferem que outra pessoa arque com os custos.

 

Os governos têm tentado resolver esse dilema com uma mistura de inovações e varas regulatórias. Nos EUA, o programa de compartilhamento de informações CISA Act oferece proteções de responsabilidade para empresas que compartilham dados sobre ameaças. É essencialmente dizer: “Conte-nos seus segredos e prometemos não usar isso contra você… legalmente falando.”

 

Alguns países optaram por incentivos fiscais. Singapura, sempre à frente em inovação digital, oferece deduções fiscais de até 250% para despesas qualificadas de cibersegurança. É provavelmente o único contexto em que um CFO (Chief Financial Officer) vai sorrir ao ouvir a palavra “cibersegurança”.

 

A União Europeia segue uma abordagem diferente com seu programa Programme Horizon Europe, financiando diretamente projetos colaborativos de pesquisa em segurança cibernética. É como um fundo de pesquisa coletivo onde você pode desenvolver tecnologias de defesa, desde que compartilhe seus resultados.

 

Casos de uso (ou não): quando a coisa funciona… e quando dá tudo errado

Quando as parcerias público-privadas funcionam bem, os resultados podem ser impressionantes. A operação conjunta que desmantelou a botnet Emotet em 2021 envolveu autoridades de 8 países trabalhando com empresas de segurança como Microsoft e McAfee. Foi como um episódio de “La Casa de Papel”, porém invertido, onde os mocinhos invadiram a casa dos bandidos digitais.

 

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) é frequentemente citado como um caso de sucesso, intermediando informações entre o governo e mais de 800 organizações privadas através de seu Cyber Security Information Sharing Partnership. Sua abordagem de “security by design” influenciou produtos e serviços em todo o ecossistema tecnológico britânico.

 

Por outro lado, o caso SolarWinds de 2020 expôs as fraquezas da cadeia de suprimentos digital. Uma empresa privada foi comprometida, afetando milhares de clientes, incluindo agências governamentais de alto nível nos EUA. Apesar de todos os mecanismos de parceria existentes, ninguém detectou a intrusão por meses.

 

Alinhando expectativas: quando o governo quer uma Ferrari e a empresa oferece um Twingo (by Shakira)

Um desafio persistente nas parcerias público-privadas é o desalinhamento de expectativas e capacidades. Os governos frequentemente esperam soluções perfeitas e imediatas para problemas complexos, enquanto as empresas equilibram segurança com praticidade, custo e experiência do usuário.

 

Como disse certa vez o monstro Bruce Schneier: “Se você acha que a tecnologia pode resolver seus problemas de Segurança, então você não entende os problemas e não entende a tecnologia.”

 

Este desalinhamento ficou evidente no debate sobre criptografia e acesso governamental. Enquanto agências de segurança insistem na necessidade de “backdoors” para investigar criminosos, empresas como Apple e Signal argumentam que portas dos fundos inevitavelmente serão descobertas e exploradas por atores maliciosos. É como construir uma casa absolutamente segura, mas com uma janela dos fundos que só a polícia possa abrir.

 

A solução geralmente envolve compreender as limitações fundamentais de ambos os lados. Os governos precisam aceitar que nem tudo pode ser monitorado sem comprometer a segurança de todos. As empresas precisam reconhecer sua responsabilidade no ecossistema mais amplo de segurança nacional. É um tango digital desconfortável, mas necessário.

 

O futuro: parcerias descentralizadas ou centralizadas?

À medida que avançamos para 2025 e além, as parcerias em cibersegurança estão evoluindo em duas direções aparentemente contraditórias.

 

Por um lado, vemos a emergência de modelos descentralizados, inspirados em blockchain, para compartilhamento de inteligência sobre ameaças. Plataformas como PolySwarm permitem que especialistas em segurança de todo o mundo analisem coletivamente possíveis ameaças e sejam recompensados por detecções precisas. É uma espécie de Uber da caça a malware – qualquer pessoa com habilidades pode participar, independentemente de vínculos institucionais.

 

Por outro lado, países como Israel e Singapura estão criando centros nacionais altamente centralizados onde governo, academia e indústria convergem fisicamente. O CyberSpark em Beer-Sheva, Israel, coloca empresas, universidades e unidades militares de elite lado a lado, criando um ecossistema onde informações fluem (quase) livremente. Um verdadeiro shopping center da cibersegurança, onde você pode comprar uma solução avançada de defesa e depois tomar um café com o pesquisador que a desenvolveu.

 

O mais provável é que o futuro envolva uma combinação dessas abordagens, adaptadas às necessidades e culturas locais. Aqui no Brasil, com nossa característica criatividade para soluções adaptadas, provavelmente desenvolveremos um modelo que combine elementos formais e informais de colaboração. Aquele churrasco de domingo onde, entre uma carninha e outra, CISOs discutem as últimas vulnerabilidades descobertas.

 

Conclusão: a soma é maior que as partes (mesmo quando as partes nem se suportam)

Como observou o velho Keith Alexander, ex-diretor da NSA e fundador do US Cyber Command: “Cibersegurança é uma equipe esportiva. Não é possível que apenas o governo ou apenas o setor privado resolva este problema.”

 

Os desafios permanecem significativos: questões de confiança, interesses divergentes, diferenças culturais entre setores e o ritmo acelerado das ameaças. A Cibersegurança eficaz no século XXI será inevitavelmente um esforço colaborativo, mesmo que às vezes pareça que estamos tentando fazer flamenguistas e vascaínos morarem na mesma casa.

 

*Júlio Signorini é CISO na Secretaria de Gestão e Governo Digital (SGGD) do Governo do Estado de São Paulo, com mais de 17 anos de experiência como executivo de TI, liderando projetos de inovação, transformação digital, gestão estratégica, cibersegurança e ESG.

 

Destaques

Relatório revela que 50% de credenciais válidas são fáceis de quebrar

Idec lança pesquisa lista recomendações para fortalecer cibersegurança em serviços públicos digitais

Higienização é o caminho para equilibrar eficiência e custo da Cibersegurança?

Cibersegurança como Política Pública: Parcerias Público-Privadas

Observabilidade, IA e resiliência digital: as lições do NETSCOUT Engage 2025

Estudo descobre novo grupo de espionagem digital ligado à China

Colunas & Blogs

Avatar photo
O papel estratégico do DPO, CIO e CISO na gestão de riscos psicossociais: alinhando a NR01 à LGPD
Cristina Sleiman
Avatar photo
Comunicação em Cyber: Qual o impacto do Social Styles na sua carreira?
Denis Nesi
Avatar photo
Quem comanda a máquina não faz perguntas
Fabio Correa Xavier
Avatar photo
Tendências da RSA Conference 2025 na visão de CISO Advisor
Glauco Sampaio
Avatar photo
Malware Autônomo e IA Generativa: A Nova Fronteira do Cibercrime no Brasil
Rodrigo Jorge
Avatar photo
Cibersegurança como Política Pública: Parcerias Público-Privadas
Julio Signorini
Avatar photo
Business Language: A Chave para a Cibersegurança Estratégica
Lucas Dartora
Aquisição da CyberArk pela Palo Alto aponta cenário de inflexão na Segurança de Identidade
Léia Machado, Mariana Nalesso Pó e Matheus Bracco
Avatar photo
Competências equilibradas para os CISOs
Luiz Firmino
Avatar photo
Resiliência Operacional: Alinhando Capacidades de Resiliência ao Futuro Digital
Renato Lima
Avatar photo
Pilares da arquitetura vs Programa de Cibersegurança e risco
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Capacitação em Deep Learning e Inteligência Artificial para a Segurança Cibernética
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Colunas & Blogs

Quem comanda a máquina não faz perguntas

O verdadeiro poder do ser humano sobre a Inteligência Artificial é exercido na posição de comando em vez de questionamento....
Leia Mais
  • Fabio Correa Xavier
  • setembro 19, 2025
Security Report | Colunas & Blogs

Pilares da arquitetura vs Programa de Cibersegurança e risco

A criação de um processo de gestão de risco cibernético em curso, cruzado com a Governança do processo de gestão...
Leia Mais
  • Rangel Rodrigues
  • setembro 15, 2025
Security Report | Colunas & Blogs

Operação Carbono Oculto: O PCC virou Fintech “Faria Limer”

A maior operação contra o crime organizado no Brasil revela como o PCC criou uma rede financeira digital bilionária —...
Leia Mais
  • Julio Signorini
  • setembro 1, 2025
Security Report | Colunas & Blogs

Navegando a maré da IA: uma proposta para uma cibersegurança robusta e adaptável

As ameaças cibernéticas envolvendo a IA não sugerem, mas impõem a necessidade de revisão das práticas, porém, a solução não...
Leia Mais
  • Fabio Correa Xavier
  • agosto 18, 2025