O Patinho Feio que o Mythos Transformou em Cisne: A Crise de Talentos em Cibersegurança

Esta é a segunda parte de uma série de quatro artigos sobre o Mythos e o sistema financeiro brasileiro.

Existe uma dinâmica silenciosa dentro de quase toda empresa de tecnologia brasileira. Comercial e engenharia ocupam o centro do palco — são o coração e o pulmão da operação, as áreas que geram receita, que aparecem nos OKRs, que recebem headcount em tempos de crise. A área de segurança existe na periferia desse ecossistema.1y. O que atrasa o lançamento de uma feature por causa de uma vulnerabilidade que "provavelmente ninguém vai explorar".

Essa não é uma opinião. É uma estrutura de incentivos — e os números a confirmam com precisão desconfortável.

Quanto as empresas realmente investem em segurança — e onde está o contrassenso

Em média, empresas globais destinam 13,2% do orçamento de TI para cibersegurança — o que representa aproximadamente 0,69% da receita total.¹ Menos de 1% da receita financia os times, ferramentas e processos que protegem toda a operação digital.

Mas a média esconde o contrassenso mais relevante do setor. Quando se abre o número por segmento, o padrão que emerge é preocupante: os setores que mais investem em cibersegurança são exatamente aqueles que mais podem pagar por ela — não necessariamente os que mais precisam.²

Tecnologia destina 13,3% do orçamento de TI à segurança. Saúde, 13,3%. Serviços corporativos, 13,2%. Já serviços financeiros ficam em 9,6% — e aqui está o primeiro contrassenso: o setor financeiro é o mais regulado, o mais atacado (26,5% de todos os incidentes globais em 2024 miraram BFSI) e o que carrega o custo médio de violação mais alto fora da saúde.³ Investe comparativamente menos porque sua infraestrutura de segurança já é madura e cara — o que significa que cada real adicional tem retorno marginal menor. Os bancos grandes estão razoavelmente cobertos.

Manufatura investe apenas 6,1%. Varejo, 6,0%.⁴ E é aqui que o contrassenso fica mais grave: 25,7% de todos os incidentes cibernéticos em 2024 miraram sistemas de produção industrial.⁵ Um setor que representa quase um quarto das vítimas investe menos da metade do que o setor de tecnologia em defesa.

O impacto de um ataque à manufatura não é abstrato. Em maio de 2021, o Grupo Moura — fabricante pernambucana de baterias automotivas, uma das mais conhecidas do Brasil — foi atacado pelo grupo DarkSide, o mesmo ransomware-as-a-service que na mesma semana paralisou o Colonial Pipeline, o maior oleoduto dos Estados Unidos. Os hackers criptografaram os servidores internos da empresa e afirmaram ter extraído 400 GB de dados: contratos, acordos, plantas industriais e informações de clientes.⁵ᵃ A nota oficial da empresa minimizou os impactos operacionais — mas relatos de quem estava dentro da empresa naquele momento descrevem um cenário diferente: dificuldades para emissão de nota fiscal, caminhões parados nos centros de distribuição e impactos na cadeia produtiva nos dias seguintes ao ataque. O Grupo Moura se recusou a confirmar se pagou ou não o resgate. O DarkSide, por sua vez, encerrou suas operações dias depois, alegando pressão das autoridades americanas — o que não impede que grupos equivalentes continuem operando hoje com capacidades ainda mais sofisticadas. Com o Mythos, qualquer grupo com acesso ao modelo teria encontrado a vulnerabilidade explorada em milissegundos. A sorte não é estratégia de cibersegurança.

Para o contexto brasileiro, o número de referência é ainda mais revelador: 56% das empresas brasileiras investem 10% ou menos do orçamento de TI em cibersegurança — e 52% afirmam que esse valor não mudou nos últimos anos.⁶ Em um país onde 38% da população foi vítima de algum tipo de golpe bancário ou fraude digital em março de 2025,⁷ essa estabilidade orçamentária não é estabilidade. É estagnação.

O paradoxo do "mal necessário"

Os números de orçamento são consequência, não causa. A causa é cultural — e existe uma pesquisa que a resume melhor do que qualquer análise.

Quando empresas brasileiras foram questionadas sobre seus maiores desafios em cibersegurança, o primeiro lugar foi conscientizar os próprios funcionários sobre a importância do tema — citado por 49% como algo "muito difícil". Em segundo, com 44%, veio a dificuldade em encontrar profissionais qualificados.⁸

A ordem importa. Antes de qualquer discussão sobre talento, o problema mais urgente das empresas é convencer as próprias pessoas de que segurança é relevante. Isso não é um problema de RH. É um problema que vem de cima.

Quando o CEO trata segurança como obrigação regulatória em vez de vantagem competitiva, esse sinal se propaga em cascata. O CISO com orçamento insuficiente não consegue contratar. O time que consegue montar opera de forma reativa, apagando incêndios em vez de prevenir. Os profissionais mais talentosos saem — porque trabalhar em um ambiente que não valoriza sua área é desgastante. Os que ficam acumulam funções e deixam a prevenção em segundo plano. É um ciclo que se auto-alimenta.

O resultado aparece em números que deveriam causar desconforto em qualquer board: mais da metade dos CISOs globalmente afirma que seu orçamento está subfinanciado — percentual que cresceu de 47% para 51% em apenas um ano. Apenas 40% têm alta confiança de que sua equipe está preparada para lidar com um ataque cibernético. Ao mesmo tempo, 47% esperam sofrer um ataque em breve.⁹

Leia os dois números juntos: quase metade das empresas espera ser atacada — e ao mesmo tempo não confia na própria capacidade de resposta. Isso não é negligência técnica. É uma falha cultural sistêmica.

A lacuna que o mercado criou — e a academia não consegue fechar

Se a cultura organizacional deprime a demanda por profissionais de segurança, o sistema educacional brasileiro deprime ainda mais a oferta.

O Brasil precisaria de aproximadamente 750 mil especialistas em cibersegurança para atender à demanda atual, segundo levantamento da Fortinet.¹⁰ Em 2023, 1.849 pessoas se graduaram em cursos relacionados à área no país inteiro — um aumento de 15,3% em relação ao ano anterior, comemorado como progresso.¹¹ Fazendo a conta: com esse ritmo de formação, levaria mais de 400 anos para fechar o déficit atual — sem contar o crescimento da demanda.

O problema começa na graduação. O Bacharelado em Cibersegurança como curso independente é recente no Brasil. A Sociedade Brasileira de Computação (SBC) finalizou os referenciais de formação para o curso apenas em 2023 — e esses referenciais ainda estavam "em tramitação no MEC" quando foram publicados.¹² A PUCPR foi pioneira ao lançar o primeiro bacharelado específico em cibersegurança do país e recebeu nota máxima 5 do MEC em 2023.¹³ Mas "primeiro" e "nota máxima" em um país de 215 milhões de habitantes revelam o tamanho da lacuna acadêmica, não o avanço.

Na prática, a maioria dos profissionais de cibersegurança no Brasil ainda se forma por um caminho indireto: cursa Ciência da Computação, Sistemas de Informação ou Engenharia de Software — onde cibersegurança aparece, quando aparece, como um módulo dentro de uma disciplina de redes — e então busca certificações especializadas por conta própria. O modelo predominante é um semestre de redes de computadores — dentro do qual cibersegurança aparece como subtópico. Não é que as universidades ignorem o tema — é que a estrutura curricular não foi desenhada para produzir especialistas.

E o ciclo se fecha: se o mercado não valoriza o CISO, poucos estudantes escolhem se especializar na área. Se poucos escolhem, o número de cursos específicos é pequeno. Se o número de cursos é pequeno, a oferta de professores qualificados é menor ainda. Se não há professores, não se abre novos cursos. O mercado educacional responde a incentivos — e os incentivos apontavam na direção errada.

A resposta do governo — e por que não é suficiente

O governo federal reconheceu o problema e agiu. O programa Hackers do Bem, iniciativa do Ministério da Ciência, Tecnologia e Inovação executada pela RNP, já certificou mais de 36 mil alunos desde seu lançamento em janeiro de 2024 e abriu 25 mil novas vagas para 2026.¹⁴ O programa aceita qualquer perfil — sem pré-requisito de formação, sem exigência de experiência prévia — e oferece desde nivelamento básico até residência tecnológica com bolsa mensal de seis meses.

É uma iniciativa genuinamente boa. Mas coloca em perspectiva o tamanho do problema: 36 mil certificados em dois anos, contra um déficit estimado entre 140 mil e 750 mil profissionais, dependendo da fonte. O Hackers do Bem é um curativo numa hemorragia.

A escassez de mão de obra em cibersegurança não é passageira. Ela é estrutural — e tende a se agravar à medida que a transformação digital avança, as regulações se tornam mais rígidas e os ataques mais inteligentes. O Mythos não criou esse problema. Ele apenas tornou urgente o que já era crítico.

O que muda com o Mythos — e o que o Mythos não muda

Antes do Mythos, o argumento financeiro para investir em cibersegurança era probabilístico: existe uma chance de sermos atacados, e o custo esperado justifica o investimento. É um argumento correto — e que raramente convencia um CFO com outras prioridades na fila.

O Mythos muda a equação de probabilidade para certeza. Não é mais "se formos atacados" — é "quando, e com qual velocidade". Um modelo capaz de encontrar vulnerabilidades zero-day em milissegundos e desenvolver exploits em horas não é uma ameaça hipotética. É uma ameaça com cronograma.

Pela primeira vez, existe um número concreto para colocar na planilha do CFO. O custo médio de uma violação de dados no Brasil em 2024 foi de US$ 1,36 milhão — já o terceiro maior aumento percentual do mundo, em 11,5%.¹⁵ Para uma fintech de 60 pessoas, esse número não é uma linha de custo — pode ser o fim da empresa. A pergunta que antes era "quanto vale investir em prevenção?" agora tem uma resposta objetiva: vale exatamente o que você não pode perder.

Mas o Mythos não resolve o problema de formação. O pipeline acadêmico é lento por natureza — um curso de graduação leva quatro anos, uma especialização relevante leva mais dois. A ameaça chegou antes da academia conseguir reagir.

O que fazer agora — para o CEO e para quem quer entrar na área

Para o CEO ou founder: a lacuna de talento em cibersegurança não vai ser resolvida pelo mercado no prazo que o Mythos exige. A solução de curto prazo não é contratar — é reconverter e terceirizar de forma inteligente.

Reconversão significa olhar para dentro. Desenvolvedores com interesse em segurança podem se tornar profissionais de AppSec com investimento focado em seis a doze meses. Analistas de dados com perfil analítico podem ser treinados para threat intelligence. Empresas especializadas já operam com esse modelo — contratando profissionais de áreas adjacentes e desenvolvendo especialização internamente.¹⁶ Não é o caminho mais rápido, mas é o que está disponível quando o mercado externo está vazio.

Terceirização estratégica significa contratar serviços gerenciados de segurança para cobrir as lacunas que o time interno não consegue preencher. Para uma fintech que não pode competir em salário com uma multinacional, esse modelo frequentemente entrega mais proteção por menos custo do que uma equipe interna subfinanciada. O custo de um analista de segurança sênior nos EUA supera US$ 124 mil anuais em salário base — antes de benefícios, ferramentas e overhead.¹⁷

Para quem está considerando migrar para cibersegurança: o momento é agora. Mais de 90% dos empregadores preferem profissionais com certificações específicas em cibersegurança a candidatos apenas com diploma de quatro anos.¹⁸ O programa Hackers do Bem oferece entrada sem pré-requisito. Salários chegam a R$ 24 mil para profissionais experientes, com teto ainda sendo definido pelo mercado.¹⁹ A área que era o patinho feio da empresa de tecnologia está, pela primeira vez, com o vento a favor.

Uma ressalva necessária

O Mythos não resolve o problema cultural sozinho. Uma ameaça nova pode elevar temporariamente o orçamento de segurança — e empresas com histórico de subinvestimento nessa área são especialmente susceptíveis a reagir de forma reativa: comprando ferramentas caras sem estrutura para operá-las, ou contratando um CISO sem dar a ele autoridade real para mudar processos.

A mudança que o Mythos pode catalisar só se sustenta se vier acompanhada de uma decisão de liderança: tratar segurança como função estratégica, não como compliance. Isso significa orçamento adequado, acesso ao board, e a prerrogativa real de dizer não quando necessário.

Quando o CISO tem a mesma voz que o CTO em uma discussão de produto, a empresa tem uma chance real de sobreviver ao D0 do Mythos. Quando é chamado apenas depois que o incidente aconteceu, está apostando em sorte.

Sorte tem prazo de validade.

Na próxima edição desta série: o ataque entrou, o dinheiro sumiu — mas o cofre ainda pode fechar. Como prevenção à lavagem de dinheiro e mecanismos de bloqueio de transação se tornam a última linha de defesa do sistema financeiro brasileiro.

Notas e fontes

¹ IANS Research — 2024 Security Budget Benchmark Report. https://nationalcioreview.com/articles-insights/information-security/the-cost-of-good-security-analyzing-2024s-cyber-budget-trends/

² TechMagic — "How to Plan an Effective Cybersecurity Budget in 2024". https://www.techmagic.co/blog/cybersecurity-budget-in-2024/

³ Mordor Intelligence — Cybersecurity Market Size & Growth Trends Report 2031, janeiro 2026. https://www.mordorintelligence.com/industry-reports/cyber-security-market

⁴ TechMagic — op. cit.

⁵ CISO Advisor — "Grupo Moura é vítima do ransomware DarkSide", maio 2021. https://www.cisoadvisor.com.br/grupo-moura-e-vitima-do-ransomware-darkside/

⁵ᵃ Convergência Digital — "Ransomware Darkside causou estrago na Copel, Eletrobras e no Grupo Moura", maio 2021. https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=56946&sid=18

⁶ Microsoft / Marsh — "Percepção do Risco Cibernético na América Latina em tempos de COVID-19", fevereiro 2021. https://news.microsoft.com/pt-br/features/apenas-16-das-empresas-brasileiras-aumentaram-seu-orcamento-em-seguranca-da-informacao-e-ciberseguranca-desde-o-inicio-da-pandemia/

⁷ Brasscom — Relatório de Cibersegurança 2025, julho 2025. https://brasscom.org.br/brasil-deve-investir-r-1046-bi-em-ciberseguranca-ate-2028-aponta-novo-relatorio-da-brasscom/

⁸ SindsegSP — "Cibersegurança é vista como prioridade em empresas, mas falta investimento". https://www.sindsegsp.org.br/site/noticia-texto.aspx?id=34354

⁹ ISACA — State of Cybersecurity 2024 and Beyond. https://www.isaca.org/resources/reports/state-of-cybersecurity-2024

¹⁰ Fortinet — 2024 Cybersecurity Skills Gap Report. https://www.fortinet.com/content/dam/fortinet/assets/reports/report-2024-cybersecurity-skills-gap.pdf

¹¹ Brasscom — op. cit.

¹² DCC/UFMG — "SBC produz referenciais de formação para o Curso de Bacharelado em CiberSegurança". https://dcc.ufmg.br/sbc-produz-referenciais-de-formacao-para-o-curso-de-bacharelado-em-ciberseguranca/

¹³ PUCPR — "Bacharelado em CiberSegurança nota 5 no MEC", outubro 2024. https://blogs.pucpr.br/ciberseguranca/2024/10/28/ciberseguranca-pucpr-nota-5/

¹⁴ Agência Brasil — "Hackers do Bem abre 25 mil vagas para formação em cibersegurança", fevereiro 2026. https://agenciabrasil.ebc.com.br/educacao/noticia/2026-02/hackers-do-bem-abre-25-mil-vagas-para-formacao-em-ciberseguranca

¹⁵ Brasscom — op. cit.

¹⁶ CryptoID — "Cresce demanda por profissionais de cibersegurança no mercado brasileiro". https://cryptoid.com.br/criptografia-identificacao-digital-id-biometria/cresce-demanda-por-profissionais-de-ciberseguranca-no-mercado-brasileiro/

¹⁷ LeadingIT — "How Much Should Your Business Spend on Cybersecurity?", fevereiro 2026. https://goleadingit.com/blog/how-much-should-your-business-spend-on-cybersecurity/

¹⁸ Fortinet — op. cit.

¹⁹ Acadi-TI — "Pós-Graduação em Cibersegurança". https://acaditi.com.br/pos-graduacao-em-ciberseguranca-ofensiva/

Eric Ramos é fundador do Ângulo AI e ex-CTO. Escreve sobre estratégia de IA para executivos do setor financeiro.