O nosso setor de telecomunicações acumula um incômodo paradoxo: regulamentações de alto nível em cibersegurança x alto índice de exposições e incidentes cibernéticos. Os números são difíceis de ignorar. A Fortinet registrou no Brasil 314,8 bilhões de atividades maliciosas somente no primeiro semestre de 2025 e o setor de telecomunicações está no centro dessa tempestade.
O conjunto regulatório brasileiro é robusto e indiscutível.
Nos últimos anos, com o Marco Civil da Internet (Lei nº 12.965/2014) e a LGPD (lei nº 13.709/2018) construíram estruturas consistentes. Além disso, a Anatel construiu um arcabouço normativo com o R-Ciber instituído pela Resolução nº 740/2020 e atualizado pela Resolução nº 767/2024, com foco em segurança cibernética para o setor de telecomunicações com uma extensão em 2025 para datacenters e serviços de cloud. Obrigações concretas como políticas de segurança cibernética documentadas, avaliação de fornecedores e de vulnerabilidades, notificação de incidentes e relatórios anuais à Anatel são algumas obrigações para as operadoras de telecomunicações.
Um ponto que merece atenção especial: o SCM (Serviço de Comunicação Multimídia) modalidade sob a qual os ISPs operam, é um serviço de interesse coletivo. Isso significa que o pequeno provedor regional também está dentro do escopo da Resolução 767. Não há isenção por porte. A norma chega até ele mesmo que a capacidade de cumpri-la, muitas vezes, não chegue junto. Aqui está o nó da questão.
Se temos normas e regulação avançada, por que os problemas de segurança persistem?
A conformidade em cibersegurança não é uma questão exclusivamente técnica, é estrutural. Estar em conformidade não é somente uma obrigação legal, mas uma necessidade básica e essencial para a continuidade do negócio. Monitoramento contínuo, equipes treinadas e atualizadas, inteligência de ameaças, ferramentas de última geração fazem parte do plano técnico, no entanto uma postura proativa e cultura organizacional voltada para a segurança e proteção digital é estrutural e precisa estar viva e pulsante dentro das empresas.
A Resolução 767 e a ISO 27001:2022. Dois lados da mesma moeda
Em 2022 a ISO27001 adotou uma mudança significativa em sua estrutura capturando esse conceito com precisão. A norma não é um checklist e sim um Sistema de Gestão de Segurança da Informação (SGSI) que foi baseado em risco, contexto da organização, comprometimento da liderança, objetivos mensuráveis e que na minha visão o principal de todos, a melhoria contínua (PDCA). Enquanto a Resolução 767 define “o que” deve ser protegido a ISO 27001:2022 define “como” estruturar essa gestão em um processo contínuo de melhoria, sustentável, eficiente e auditável.
O gap não está na falta de normas e sim, na ausência de maturidade de gestão para operacionalizá-las.
Qual caminho percorrer
Faça o simples. Faça o básico.
Temos uma expressão tupiniquim que descreve isso magnificamente: feijão com arroz. Não adianta investir em sistemas de segurança avançados e caros se os colaboradores anotam senhas em um adesivo colado no monitor. Antes da ferramenta, vem o processo. Antes do processo, vem a cultura.
Trate conformidade e segurança como processo, não como destino.
A cibersegurança é um estado permanente de evolução, não um projeto com data de encerramento. Realizar um pentest e não tratar as vulnerabilidades encontradas é pior do que não tê-lo feito: cria uma falsa sensação de segurança. É preciso agir, e a ação começa com gestão e processos antes das ferramentas. Para estruturar esse caminho, a ISO 27001:2022 oferece um sistema de governança completo que abrange todas as áreas da empresa. Use-o como ponto de partida sólido e disponível.
Mitigue os riscos da cadeia de fornecedores.
Mesmo que sua empresa ainda não esteja em plena conformidade, exija isso de quem fornece para você. Hospede sua infraestrutura em datacenters certificados, priorize equipamentos homologados, solicite políticas de segurança dos seus desenvolvedores de sistemas. Crie requisitos mínimos de segurança como critério de contratação e principalmente trate isso como uma política de fornecedores, não como um favor. Sua exposição não termina na sua borda de rede, e sim, ela se estende até o elo mais fraco da sua cadeia.
Conclusão: o problema não é normativo. É de maturidade organizacional.
Enquanto a maioria ainda trata cibersegurança como uma questão exclusivamente técnica, ou seja, algo que pertence ao departamento de TI, o mercado, os reguladores e os atacantes já avançaram para outro patamar. A cibersegurança é um tema institucional, ligado à governança corporativa e à continuidade do negócio.
A Anatel faz a sua parte, a ISO 27001:2022 oferece o método.
O que falta é a decisão dentro de cada organização: cibersegurança é uma prioridade de negócio ou ainda é uma exigência regulatória a ser minimamente cumprida? A resposta a essa pergunta, mais do que qualquer resolução, determinará o nível de resiliência do setor de telecomunicações brasileiro nos próximos anos.
Gustavo Leão
