Visibilidade Centralizada em Tecnologia Operacional

Publicado por Renata V. Lopes em

O que mudou (e o que ainda preocupa) de 2022 a 2025

Em julho de 2022, o Relatório Global de OT e Segurança Cibernética da Fortinet expôs uma realidade preocupante: 93% das organizações com ambientes de Tecnologia Operacional (OT) haviam sofrido ao menos uma intrusão nos últimos 12 meses; 78% sofreram mais de três. E o dado mais revelador — apenas 13% dos responsáveis de cibersegurança tinham visibilidade centralizada de todas as atividades OT.

Guardei aquele artigo e três anos depois, o cenário evoluiu — mas não da forma que muitos gostariam. Então resolvi buscar um pouco mais de informação e colocar a minha opinião no tema.

O que avançou: maturidade e governança sobem na hierarquia

A boa notícia é estrutural. O Relatório 2025 da Fortinet (publicado em julho de 2025, com base em mais de 550 profissionais globais de OT) registra avanços consistentes na governança executiva da segurança OT:

  • Em 2022, apenas 15–16% das organizações reportavam a segurança OT ao CISO.
  • Em 2025, mais de 52% das organizações já colocam o CISO ou CSO como diretamente responsável pela segurança OT — um salto de mais de três vezes em três anos.
  • 95% dos respondentes afirmam que OT security já é assunto de C-Level — e 80% dos restantes planejam consolidar essa responsabilidade sob o CISO nos próximos 12 meses.

Outro avanço importante é a maturidade técnica: 81% das organizações se avaliam nos níveis 3 ou 4 de um modelo de cinco níveis, contra apenas 21% no nível 4 em 2022. Organizações no nível 4 reportaram 65% de zero intrusões no ano anterior — evidência direta de que maturidade gera resultados.

A consolidação de fornecedores também avançou: 78% das organizações usam quatro ou menos fornecedores OT em 2025, reduzindo a fragmentação que amplificava as lacunas de visibilidade em 2022.

A ameaça cresceu junto com a defesa

Se a maturidade subiu, o cenário de ameaças escalou na mesma proporção — ou mais.

Em 2024, os ataques a ambientes OT cresceram 73%, segundo o mesmo relatório. Em 2025, 50% das organizações ainda relataram ao menos um incidente de cibersegurança. Mais grave: em 2024, 56% das organizações sofreram ataques de ransomware ou wiper — quase o dobro dos 32% registrados em 2023.

O Relatório Global de Ameaças 2025 da Fortinet aponta que manufatura respondeu por 17% de todos os ataques direcionados — mais do que qualquer outro setor. A lógica é perversa: paralisação de produção tem impacto imediato e mensurável, tornando esses ambientes alvos prioritários de grupos de ransomware.

Um dado paradoxal do relatório 2025 chama atenção: à medida que as organizações amadurecem, a confiança em ter 100% de visibilidade diminui. Isso não é regressão — é discernimento. Equipes mais maduras identificam ativos legados não gerenciados, dispositivos não inventariados e fronteiras de segmentação que antes passavam despercebidos. Reconhecer o ponto cego é o primeiro passo para eliminá-lo.

A convergência IT/OT: o air gap não existe mais

Um ponto crítico que o artigo de 2022 já sinalizava tornou-se fato consolidado: o isolamento (air gap) entre redes OT e TI corporativa praticamente não existe mais. Controladores Lógicos Programáveis (PLCs), sistemas SCADA e Sistemas de Controle Industrial (ICS) agora coexistem em redes conectadas à internet, acessíveis remotamente e integrados a nuvens industriais.

O uso de soluções cloud para controle de sistemas industriais cresceu 15% só no último ano (SANS ICS/OT Cybersecurity 2024). O 5G industrial emerge como nova infraestrutura LAN, expandindo ainda mais a superfície de ataque.

Essa convergência eleva a complexidade de governança: já não é possível gerenciar OT e TI como domínios separados. Frameworks, políticas e processos precisam ser unificados — e a responsabilidade, como o mercado sinaliza, precisa ser consolidada no CISO.

O contexto brasileiro e global

O ambiente regulatório também se moveu. No Brasil:

  • A ANATEL, por meio do R-Ciber (Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações), estabelece obrigações explícitas de governança cibernética para operadoras — com reflexos diretos em ambientes OT de telecomunicações.
  • A ANPD avançou em regulamentações sobre a gestão de incidentes e segurança da informação que impactam toda a cadeia de tratamento de dados, incluindo sistemas industriais e de automação conectados..
  • 66% das organizações globais pesquisadas pela Fortinet em 2025 esperam aumento de exigências regulatórias em cinco anos ou menos.

Para organizações nos setores de energia, manufatura, saúde e infraestrutura crítica, o vetor regulatório não é mais opcional — é inevitável.

Globalmente, 66% das organizações pesquisadas em 2025 esperam um aumento significativo das exigências regulatórias nos próximos cinco anos. Para setores de energia, manufatura, saúde e infraestrutura crítica, a conformidade regulatória deixou de ser opcional e tornou-se inevitável.

Recomendações práticas

Com base nos dados consolidados de 2024–2025 e nos padrões internacionais de referência (ISO 27001, NIST CSF, IEC 62443 e CIS Controls), a Tecnologia Humana recomenda o seguinte plano de ação:

1. Inventário e visibilidade ativa de ativos OT

Implantar soluções de descoberta passiva e ativa dedicadas a ativos industriais. Sem o mapeamento completo do ambiente, torna-se impossível protegê-lo. É essencial adotar ferramentas de monitoramento capazes de decodificar nativamente protocolos industriais específicos (como Modbus, DNP3 e OPC-UA).

2. Segmentação e Zonas de Segurança (IEC 62443)

Criar zonas e condutos estritos conforme o modelo normativo da IEC 62443, limitando severamente o potencial de movimento lateral de ameaças entre as redes de TI e OT. Firewalls industriais e DMZs de OT bem estruturadas continuam sendo a linha de contenção mais eficaz.

3. Zero Trust Access para ambientes industriais

Eliminar o conceito de acesso implícito baseado puramente na localização física ou lógica da rede. Toda e qualquer conexão — seja interna ou externa, de origem humana ou de máquina — precisa ser autenticada, criptografada e autorizada contextualmente. Essa postura é especialmente crítica no gerenciamento de acessos remotos de terceiros para manutenção de maquinários.

4. Consolidação de fornecedores e plataformas integradas

Reduzir a fragmentação excessiva de ferramentas de segurança. Organizações que adotaram plataformas unificadas de visibilidade IT/OT reportaram uma redução de 93% em incidentes cibernéticos e uma melhoria de 7 vezes no tempo médio de resposta a ameaças (Fortinet, 2025).

5. Integração do Ambiente de OT ao SOC Corporativo

O Security Operations Center (SOC) corporativo deve estar capacitado para rastrear e correlacionar eventos vindos da rede de automação. Em 2022, apenas 52% dos SOCs conseguiam monitorar atividades de OT de forma efetiva; esse indicador precisa atingir a totalidade do ambiente. O desenvolvimento de runbooks e playbooks de resposta a incidentes focados em cenários industriais é obrigatório.

6. Atribuição formal de responsabilidade ao CISO

Formalizar explicitamente no organograma corporativo e nas políticas internas que a segurança de OT está sob a responsabilidade integrada do CISO — mitigando a antiga divisão de escopo com gerentes de fábrica ou gestores de manufatura. Essa mudança estrutural de governança é o fator de maior correlação com a redução consistente de incidentes de segurança.

7. Gestão de patches e controles compensatórios

Dispositivos como PLCs e sistemas SCADA legados raramente suportam a aplicação de patches de correção regulares sem paradas críticas. A aplicação de virtual patching em nível de rede, listas brancas de aplicações (application whitelisting) e o isolamento micro segmentado são os controles compensatórios indispensáveis para proteger ativos que não podem ser atualizados frequentemente.

Progresso real, Risco crescente

A comparação evolutiva entre os dados de 2022 e 2025 revela um mercado industrial visivelmente mais maduro, mas que enfrenta adversários que evoluíram em velocidade semelhante.

A boa notícia é clara: as organizações que decidiram investir de forma estratégica em maturidade, consolidação e visibilidade centralizada estão colhendo resultados operacionais mensuráveis. A má notícia é igualmente contundente: metade do mercado global ainda sofre com intrusões bem-sucedidas, e a incidência de ransomware industrial praticamente dobrou em uma janela de um ano.

A Tecnologia Humana reitera que a segurança em ambientes de OT não deve ser tratada como um projeto de engenharia isolado. Trata-se de uma dimensão crítica da Governança de TI, perfeitamente sujeita às mesmas exigências de controle, auditabilidade e conformidade regulatória aplicadas a qualquer outro ativo estratégico de negócios. Aqueles que continuam tratando a automação industrial como uma exceção regulatória estão, na verdade, acumulando um risco silencioso e severo.

O momento de agir é agora — antes que o próximo relatório anual documente o incidente que poderia ter sido evitado.

Fontes:

  • Fortinet Global State of OT and Cybersecurity Report (Edições 2022, 2024 e 2025);
  • SANS ICS/OT Cybersecurity Survey (2024);
  • Chambers & Partners Cybersecurity 2025 — Brazil;
  • ANATEL — Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber);
  • Fortinet Global Threat Landscape Report (2025);
  • Tendências em Segurança OT 2025 (Brasiline Tecnologia).
Categorias: Gestão e Liderança
Tags:

Renata V. Lopes

Com mais de 35 anos na vanguarda da TI, já gerenciei tecnologia em ambientes onde falhar não era opção — inclusive como Gerente de Prontidão Operacional dos Jogos Olímpicos e Paralímpicos Rio 2016™. Essa experiência moldou minha visão: Governança de TI não é burocracia. É a diferença entre uma organização que sobrevive às crises e uma que as antecipa. Hoje, à frente da Tecnologia Humana, ajudo empresas de médio e grande porte a transformar TI em vantagem competitiva — com maturidade operacional, conformidade regulatória e segurança cibernética que protegem o que realmente importa: pessoas, dados e continuidade do negócio. Minha abordagem é centrada no tripé fundamental: → Pessoas — porque tecnologia só funciona quando as pessoas estão preparadas → Processos — porque eficiência e conformidade nascem de estrutura, não de improviso → Tecnologia — porque ferramentas sem governança são riscos em potencial Áreas de atuação: • Governança de TI (COBIT, ITIL, ISO 27001) • Cibersegurança e Proteção de Dados (LGPD, GDPR) • Gestão de Riscos (COSO ERM, ISO 31000) • Compliance Regulatório • GED e Gestão de Processos Se sua empresa precisa evoluir da conformidade reativa para a resiliência estratégica, vamos conversar.

0 comentário

Deixe um comentário

Espaço reservado para avatar

Posts relacionados

Gestão e Liderança

O que os Jogos Olímpicos me ensinaram sobre Governança de TI

Começou a Copa do Mundo e me veio a mente minha experiencia com grandes eventos. Em 2013, assumi um desafio que poucos profissionais de TI terão na carreira: garantir a prontidão operacional de tecnologia para Leia mais

Coaching

O Protagonismo Feminino: Da Governança à Inovação

O Dia Internacional da Mulher, este 08 de março, convida-nos a olhar para além das homenagens protocolares, mas a refletir sobre o protagonismo feminino. Como profissional que percorreu mais de três décadas nos bastidores e Leia mais

Gestão e Liderança

Impactos do ECA Digital, LGPD e PNCiber nas Empresas

O cenário jurídico brasileiro para o setor de tecnologia passou por uma transformação tectônica em setembro de 2025 com a sanção da Lei nº 15.211/2025, o chamado ECA Digital. Para as empresas essa lei não Leia mais

error: Conteúdo Protegido!