TransUnion, 2025: um dia como qualquer outro, 4,4 milhões de registros de dados pessoais foram roubados de uma das maiores agências de crédito do mundo. O vetor de ataque não foi sofisticado. Não houve exploração de zero-day.  

Não foi ransomware inovador. Foi algo devastadoramente simples: alguém tinha acesso privilegiado que não deveria ter. E ninguém percebeu até que fosse tarde demais.

O custo? $6,08 milhões  

Agora amplie a foco: 2024 fechou com $3,52 bilhões em multas para bancos americanos. 82% de todas as penalidades regulatórias do país. No mesmo ano, cyber incidents no setor financeiro dobraram de 864 para 1.858. E 65% das instituições financeiras foram atingidas por ransomware. Recorde histórico.

O problema não é falta de investimento. Empresas gastam em média $1,4 milhão por ano só para atender SOX 404. O problema é que controles manuais não escalam. E quando falham, custam caro.

Mas quanto exatamente? E por que continuamos falhando nas mesmas coisas? É o que a Vennx mostra no artigo de hoje. Leia até o fim!

O paradoxo do investimento

$1,4 milhão por ano. É o que empresas gastam, em média, para atender aos requisitos da Seção 404 da SOX. Documentação de controles internos. Testes. Auditoria externa. Remediações.

Mas esse número conta apenas parte da história.

O custo real está escondido em horas. 28 auditorias por ano, em média, por organização. Cada uma exige de 6 a 10 dias de preparação. No total, equipes de segurança enterprise gastaram 86.000 horas coletivas em 2025 apenas preparando materiais para auditores. Não prevenindo ameaças. Não detectando anomalias. Coletando evidências de controles que deveriam ser rastreáveis por design.

34% da semana de trabalho de um analista de GRC é gasta em reporting; coletando, consolidando, formatando dados. E 71% dos times reportam burnout relacionado a essa rotina.

Aqui está o paradoxo: você gasta milhões para demonstrar conformidade, mas quando auditoria pede uma evidência específica — "mostre-me quem aprovou o acesso privilegiado do usuário X em 15 de janeiro" — a equipe precisa reconstruir o histórico. Vasculhar e-mails. Checar planilhas. Procurar aprovações em ferramentas diferentes.

LEIA TAMBÉM: O novo SAP FUE: como a mudança no licenciamento pressiona a governança de acessos

E pior: 71% das organizações já receberam multas por atrasos em respostas a auditorias. Ou seja, gastam para estar em conformidade, mas não conseguem comprovar a tempo.

Por quê? Porque processos manuais geram documentação fragmentada.  

Não há fonte única de verdade. Há silos: planilhas no OneDrive, emails arquivados, tickets no ServiceNow, aprovações no chat. Quando você precisa juntar tudo, vira arqueologia corporativa.

‍

Quando controles falham

Caso RRD:

Junho de 2024. A SEC anunciou algo sem precedentes: R.R. Donnelley & Sons Co. pagaria $2,1 milhões de multa. Não por fraude. Não por insider trading. Por falha em controles internos de cybersecurity.

Foi a primeira vez que a SEC tratou segurança cibernética como violação de controle contábil interno. O argumento? RRD não conseguiu garantir que o acesso aos seus ativos digitais fosse autorizado apenas pela gestão. Em 2021, hackers exploraram exatamente essa falha. Resultado: ransomware. 29 clientes tiveram dados violados.

A linguagem da SEC foi cirúrgica: "Falha em manter controles internos que garantissem que acesso a ativos fosse permitido apenas com autorização da gestão."

Tradução: controles manuais de acesso falharam. E a empresa pagou $2,1 milhões por isso.

Caso Metro Bank UK:

No Reino Unido, 2025, o Metro Bank ofereceu uma lição ainda mais brutal: o CEO e o CFO foram multados por um erro contábil de £900 milhões. E aqui está o detalhe crucial: mesmo sem ter agido de forma imprudente ou fraudulenta. Simplesmente porque os controles internos falharam em detectar o erro antes que ele chegasse aos demonstrativos financeiros.

A mensagem dos reguladores é clara: você é responsável pelos controles. Se eles falham, você paga. Intenção não importa.

Outros cases:

CIRCOR International: $10 milhões em fraude executados por um finance director. Como? Controles internos permitiram que uma pessoa manipulasse sistemas sem supervisão adequada. Multa: $400K, mais uma "springing penalty" de $1,2 milhão se não remediar os controles.

TransUnion: 4,4 milhões de registros roubados via credenciais privilegiadas. Capital One: $300 milhões em multas e settlements. Equifax: $700 milhões.

LEIA TAMBÉM: Banco Master: a maior liquidação do SFN e o alerta real para governança, riscos e compliance.

O que todos esses casos têm em comum? Não foram ataques que exploraram vulnerabilidades técnicas sofisticadas. Foram falhas operacionais em controles que "deveriam funcionar". Senhas compartilhadas. Permissões excessivas. Falta de rastreabilidade. Aprovações que nunca foram documentadas.

E o Verizon DBIR confirma: 30% dos breaches no setor financeiro envolvem credenciais roubadas ou mal gerenciadas. Não é problema de firewall. É problema de quem tem acesso a quê, e se alguém está prestando atenção nisso.

A escala do problema

84% das organizações sofreram breaches diretamente ligados a falhas de controle em 2025. Leia de novo: 84%. Não foram ataques impossíveis de prever. Foram brechas nos controles que já existiam — ou que deveriam existir.

E pior: 75% desses breaches envolveram múltiplas falhas simultâneas. Pesquisadores chamam de "toxic combinations" — quando duas ou três deficiências se sobrepõem e criam uma janela de oportunidade que atacantes exploram em minutos.

64% dos líderes de segurança admitiram que incidentes recentes contornaram controles que "deveriam ter prevenido" o ataque. Ou seja: a falha não foi de tecnologia. Foi de execução.

Por que controles manuais falham?

Primeiro, senhas compartilhadas. Quando três pessoas usam a mesma credencial administrativa, accountability desaparece. Quem fez o quê? Impossível rastrear.

Segundo, falta de MFA universal. NYDFS Part 500 agora exige autenticação multifator ou "compensating controls extremamente bem justificados". Porque sistemas protegidos apenas por senha são vulneráveis demais.

Terceiro, permissões excessivas. Funcionários com acesso além do necessário para suas funções conseguem manipular dados que não deveriam nem visualizar. Falta de segregação de funções (SoD) vira porta aberta para fraude — intencional ou acidental.

Quarto, falta de rastreabilidade. Quando uma invoice chega sem contexto, sem aprovação documentada, alguém pergunta: "Quem autorizou isso?" E a resposta, frequentemente, é: "Ninguém sabe."

LEIA TAMBÉM: As 5 falhas mais comuns de compliance que até grandes empresas ainda cometem

E aqui está o dado que muda tudo: a velocidade média de um ataque aumentou 100 vezes em 4 anos. Hoje, do acesso inicial até a exfiltração de dados, passam cerca de 25 minutos. Processos manuais de aprovação levam horas. Às vezes dias.

Atacantes se movem mais rápido que seus controles.

Regulação está se fechando

Novembro de 2025. NYDFS Part 500 entra em vigor com novos requisitos. E é ponto pacífico que negócios enterprise precisam implementar PAM solutions. Privileged Access Management.  

Monitoramento contínuo de atividade de acessos privilegiados. Método automatizado para bloquear senhas comuns. MFA universal ou justificativas técnicas robustas para exceções. E a penalidade por descumprimento? Até $250 mil por dia de violação contínua.

Em maio de 2024, a FTC Safeguards Rule expandiu escopo: agora cobre todas as instituições financeiras, incluindo non-banking entities como mortgage brokers e payday lenders. Programa abrangente de cybersecurity. Obrigatório. Breaches que afetem mais de 500 clientes precisam ser reportados à FTC em menos de 30 dias.

PCI DSS 4.0.1 se tornou mandatório em março de 2025. A versão 3.2.1 foi descontinuada. Novos requisitos de controle de acesso entraram em vigor. Quem não atualizou está fora de conformidade.

E os dados mostram por quê a pressão regulatória aumentou: IBM X-Force reportou aumento de 71% year-over-year em ataques usando credenciais válidas. Atacantes não estão invadindo. Estão entrando pela porta da frente com credenciais roubadas ou mal gerenciadas.

A mensagem do regulador é inequívoca: controles manuais não atendem mais o padrão de "razoável" exigido por SOX 404. Automação e rastreabilidade deixaram de ser diferenciais. São requisitos mínimos.

A solução: automação + governança

77% dos CISOs admitem abertamente: modelos manuais de assurance de controles não funcionam mais. E 8 em cada 10 já identificaram a prioridade para 2026: automação contínua de controles.

Mas automação não significa apenas "comprar uma ferramenta". Significa redesenhar a operação para que controles sejam rastreáveis por design, não por esforço.

O que muda quando você automatiza controles de acesso?

Rastreabilidade se torna automática. Cada solicitação, cada aprovação, cada modificação fica registrada: quem pediu, quem aprovou, quando, por quê. Não é reconstituído depois. É capturado em tempo real. Quando auditoria pede evidência, você entrega em segundos, não em dias.

Erro humano desaparece dos pontos críticos. Fluxos automatizados não "esquecem" de pedir aprovação. Validações de SoD (Segregação de Funções) acontecem automaticamente antes de conceder acesso — não depois, quando o estrago já foi feito. Alertas disparam em tempo real quando alguém tenta acessar algo fora do padrão esperado.

Escala deixa de exigir headcount. O caso Ipiranga da Vennx ilustra bem: 122 chamados por dia processados com 75% de redução no SLA comparado ao mercado. Mesmo volume de demanda. Menos tempo de resposta. Mais controle. Sem adicionar 15 analistas ao time.

Alinhamento com frameworks vira consequência, não projeto. Controles preventivos, detectivos e corretivos ficam integrados aos frameworks globais — SOX, COSO, ISO, LGPD. Matriz de riscos se atualiza conforme controles mudam. Planos de teste são gerados automaticamente a partir dos controles cadastrados.

Payback demonstrável

86.000 horas. Foi quanto equipes de segurança enterprise gastaram coletivamente em preparação para auditorias em 2025. Com automação, essas horas voltam para prevenção. Para análise. Para trabalho estratégico.

34% da semana de trabalho que antes ia para reporting manual agora vai para o que realmente importa: detectar ameaças, fechar brechas, melhorar controles.

Se você calcular o custo de 1.000 horas de analista sênior a $80/hora, está economizando $80K. Por mil horas. Multiplique pelo número de horas que sua equipe gasta reconstruindo evidências.

BPO como acelerador

E aqui entra o modelo de BPO especializado em GRC. Não é apenas ferramenta. É operação + consultoria + tecnologia. A Vennx, por exemplo, abriu seu framework de gestão de acessos como Open Source: você vê exatamente como estruturar processos AS IS, desenhar TO BE, e operar com controles auditáveis. O framework é público. A execução especializada é o diferencial.

Um time de 3-5 pessoas bem treinadas, operando processos automatizados, substitui 15-20 analistas fazendo trabalho manual. E com SLA melhor.

Automação sem governança: aceleração de gargalos e desorganização

Ferramenta sem processo redesenhado é caos automatizado.

Cenário conhecido: empresa compra solução de acessos cara, implementa, e seis meses depois ninguém usa direito. Por quê? Porque automatizaram o processo errado. Pegaram o fluxo manual caótico e simplesmente digitalizaram a falha.

A ordem correta é:

Entender o processo atual (AS IS). Mapeie como as coisas realmente acontecem hoje. Não como deveriam acontecer segundo a política escrita em 2019. Como realmente acontecem.

Desenhar o processo ideal (TO BE). Elimine redundâncias. Defina alçadas claras. Estabeleça SoD. Crie rastreabilidade por design.

Automatizar o processo ideal. Só então você implementa tecnologia. E ela vai funcionar porque está sustentada por governança sólida.

O trio essencial para conformidade sustentável é:

• Tecnologia (PAM, IAM, SIEM, GRC platforms).  

• Pessoas (políticas claras, alçadas definidas, treinamento contínuo — AI literacy é obrigatória desde fevereiro de 2025 no AI Act europeu).  

• Processos (operação com ciclos de revisão contínua, não auditoria anual tipo "checkbox").

Sem governança, você tem automação frágil. Com governança sem automação, você tem gargalo operacional. Precisa dos dois.

Niveis de acesso atribuições não deve ser um desafio. Confira nosso playbook e saiba como organizar suas equipes!

Até quando setor financeiro vai se permitir correr o risco de tantas perdas?

$3,52 bilhões. Foi o que bancos americanos pagaram em multas regulatórias em 2024. 84% dos breaches aconteceram por falhas em controles que já existiam. $6,08 milhões é o custo médio de um breach no setor financeiro — 22% acima da média de outras indústrias.

E controles manuais não escalam. Nunca escalaram. Mas agora, com atacantes se movendo 100 vezes mais rápido que há 4 anos, a defasagem virou abismo.

Aqui está o teste simples: sua empresa gasta $1,4 milhão por ano em conformidade SOX. Mas você consegue produzir evidência de controle em menos de 24 horas quando auditoria pede? Consegue rastrear quem aprovou qual acesso, quando, e por quê? Tem visibilidade em tempo real de acessos privilegiados?

Se a resposta for não, você não tem problema de conformidade. Você tem problema de operação.

E problema operacional se resolve com tecnologia + governança. Não é projeto de TI. É reestruturação de como GRC funciona na sua organização.  

Com a consultoria Vennx, seu negócio poderá identificar e dimensionar exatamente os tipos e o tamanho das falhas de cada setor.  

Nossas soluções cobre todo o ambiente de GRC do setor financeiro e proporcionam um acompanhamento integral, de ponta a ponta, de todo ciclo de vida de riscos.

Fale com um de nossos especialistas agora!

‍