Entrar em 2026 com contas desnecessárias ativas, autenticação parcial e backups não testados pode custar milhões. Segundo o Cost of a Data Breach 2024, da IBM, o custo médio global de uma violação atingiu US$ 4,88 milhões, enquanto no Brasil o impacto médio por incidente chegou a R$ 7,19 milhões em 2025, alta de 6,5% em relação a 2024. Diante desse cenário, a consultoria em segurança da informação LC SEC separou sete ajustes práticos que empresas de todos os portes podem aplicar ainda em dezembro ou no início do ano para reduzir riscos digitais e proteger informações sensíveis:
1. Mutirão de credenciais e acessos
O primeiro passo é listar todas as contas vinculadas ao domínio da empresa, incluindo colaboradores, estagiários, temporários, terceiros, contas de serviço e integrações, e desativar imediatamente as que não são mais necessárias. O foco é eliminar contas órfãs, acessos temporários que se tornaram permanentes e usuários genéricos desconhecidos. “Com isso, a empresa reduz significativamente a superfície de ataque, fechando portas que muitas vezes permanecem abertas por anos”, explica Luiz Claudio, CEO da LC SEC.
2. Ajustar privilégios ao mínimo necessário
Após identificar quem realmente precisa ter acesso, o próximo passo é revisar e reduzir privilégios excessivos. Isso inclui perfis de administrador, chaves de nuvem e contas de serviço com “poderes ilimitados”. Para Luiz, a regra é simples: “Cada acesso deve ser proporcional à função, evitando que um erro ou invasão de um usuário comprometido se transforme em um risco corporativo de grande impacto”.
3. Priorizar MFA onde dói mais
Mesmo com avanços em grandes empresas, quase dois terços das pequenas e médias ainda não utilizam autenticação multifator (MFA) nem planejam adotá-la. A LC SEC recomenda torná-la obrigatória nos sistemas mais críticos, como e-mails corporativos, VPNs, ERPs, CRMs e consoles de nuvem, começando por diretoria, finanças e equipes de TI. “Essa medida reduz drasticamente a probabilidade de invasões por credenciais roubadas”, pontua o especialista.
4. Checar vazamento de senhas antes do réveillon
Com bilhões de senhas circulando em bases criminosas, verificar se credenciais corporativas já foram expostas é essencial. Ferramentas especializadas permitem identificar e forçar a troca de senhas comprometidas, bloquear reuso e reforçar MFA, diminuindo o risco de ataques direcionados por phishing ou infostealers.
5. Dar um choque de realidade nos logs
Ter sistemas de monitoramento não adianta se os eventos críticos não são registrados. A LC SEC orienta validar se logins, falhas de login, criação e exclusão de usuários, alterações de privilégios e acessos fora do padrão estão sendo devidamente monitorados. Melhores logs ajudam a reduzir o tempo de detecção e resposta, o que pode significar uma economia de milhões em caso de violação, segundo o IBM Cost of a Data Breach.
6. Colocar backups à prova
Ransomwares frequentemente miram repositórios de backup: 96% dos ataques têm esse objetivo, e 76% conseguem comprometer cópias, segundo o Veeam Ransomware Trends Report 2024. Por isso, é essencial testar restaurações, manter cópias imutáveis ou offline e controlar rigorosamente quem pode alterar ou apagar os backups. “Essas medidas aumentam a resiliência e reduzem perdas de dados críticas”, diz o executivo.
7. Amarrar tudo com comunicação clara para o time
Por fim, consolidar essas ações com comunicação interna é crucial. Campanhas como a “semana do reset de acessos” explicam ao time por que senhas foram trocadas, MFA ampliado e logs revisados. Essa abordagem humanizada reduz resistência, fortalece a cultura de segurança e garante que cada colaborador compreenda seu papel na proteção da empresa.
Segundo Luiz Claudio, “a intensificação da campanha marca a virada entre ‘fazer o curso’ e adotar segurança como comportamento cotidiano. Ainda existe a percepção de que awareness é um checklist, mas isso não funciona mais. Nosso objetivo é apoiar as empresas nessa mudança cultural”. Com essas sete medidas, empresas de diferentes portes podem reduzir significativamente sua exposição a ataques digitais, transformando a virada de 2025 para 2026 em um marco de maturidade em segurança da informação.
