Nesta sexta-feira (04), a Polícia Civil de São Paulo prendeu um profissional de TI suspeito de participar de um ataque hacker que expôs dados sigilosos de clientes bancários, em um caso envolvendo a empresa de software C&M.
O trabalhador ocupava uma função estratégica no suporte, porém recebia um salário baixo. O incidente revelou não apenas fragilidades de segurança cibernética, mas também um problema mais estrutural e silencioso: a maneira como muitas empresas de tecnologia tratam seus trabalhadores. Em outras palavras, expôs que a desvalorização profissional é em si um enorme risco corporativo, muitas vezes subestimado.
Leia: Novidade! Crianças menores de 12 anos têm entrada gratuita no Sindpd On Fire!
No caso específico da C&M, os relatos de empregados evidenciam um histórico de desrespeito a direitos trabalhistas. Entre os problemas apontados pelos funcionários da empresa estão: Recusa em negociar a Participação nos Lucros e Resultados (PLR) com o sindicato, descumprindo a Convenção Coletiva de Trabalho da categoria; Falta de transparência na gestão do banco de horas, gerando insegurança sobre as compensações e prejuízos aos trabalhadores; Denúncias de assédio moral e cobranças excessivas por metas, criando um clima de pressão constante; e um ambiente marcado por jornadas exaustivas e sobrecarga contínua, levando muitos ao limite do cansaço.
O Sindpd-SP (Sindicato dos Trabalhadores em TI de São Paulo) já tentou abrir negociações com a C&M, sem sucesso. A postura da empresa de ignorar a convenção coletiva e se recusar a dialogar demonstra falta de respeito pelos profissionais. Em suma, a empresa criou um terreno fértil para insatisfação interna muito antes do ataque em questão.
A resposta da C&M após o vazamento deixou a desejar. Em vez de fazer uma autocrítica honesta sobre suas vulnerabilidades — tanto do ponto de vista técnico quanto humano — a tendência da empresa foi afastar responsabilidades e tratar o episódio como um “caso isolado”. Essa falta de disposição em reconhecer problemas internos é um caminho quase garantido para a repetição de erros no futuro.
Ao não encarar de frente as falhas de gestão e cultura, a empresa perde a oportunidade de corrigir o curso e prevenir novas ocorrências. Ignorar o sintoma não cura a doença: reduzir tudo a um incidente pontual significa fechar os olhos para fatores sistêmicos que contribuíram para que algo assim acontecesse.
É importante enfatizar que nenhuma dessas circunstâncias justificam que um trabalhador venda informações ou se envolva em atividades criminosas. Não há desculpa para deliberadamente “destrancar a porta” da empresa para um ataque externo – quem faz isso precisa ser responsabilizado individualmente por seus atos. Contudo, é necessário entender o conjunto de fatores que tornam esse tipo de falha mais provável. Todo sistema de segurança pode ser minado por dentro se as pessoas falharem, seja por malícia ou por desmotivação.
Deve-se punir o comportamento ilícito e ao mesmo tempo questionar o contexto que pode ter levado um profissional a tamanho ponto de ruptura. Segurança não é só firewall e senha forte; é também cultura, clima organizacional e gestão competente. E nesses aspectos, a C&M claramente dava sinais de fragilidade.
Um ditado muito citado em TI é que “a cadeia é tão forte quanto seu elo mais fraco”. Em segurança da informação, esse elo costuma ser o fator humano. A melhor infraestrutura tecnológica do mundo falha se as pessoas que a operam estiverem desengajadas ou descuidadas. Segurança não é apenas uma questão de ferramentas, mas um workflow e uma cultura organizacional que envolve todos os stakeholders.
Quando um profissional de dentro participa de um ataque, fica evidente que de nada adiantaram os sistemas de defesa externa naquele momento – o “inimigo” já estava dentro dos portões. Empresas de tecnologia precisam, portanto, ampliar o conceito de segurança: não se trata só de evitar invasões externas, mas de blindar o maior patrimônio da organização, que são as pessoas que fazem tudo funcionar.
Há uma contradição gritante em ver empresas investindo milhões em sistemas de segurança de última geração – firewalls, criptografia avançada, servidores novos – enquanto tratam sua equipe como um custo a ser cortado. Segundo dados da consultoria IDC, as empresas brasileiras devem investir cerca de US$ 2,1 bilhões em segurança da informação neste ano, um salto de aproximadamente 13% em relação ao ano anterior. Trata-se de um crescimento expressivo nos orçamentos para tecnologia. Mas quanto desse investimento está sendo direcionado às pessoas? Quanto pretendem investir em salários decentes, capacitação e valorização profissional?
Até agora, os números não são animadores. Por exemplo, o salário médio dos profissionais de TI no Brasil teve aumento em torno de 6,4% ao ano na última década – ritmo bem inferior ao crescimento dos gastos tecnológicos. Da mesma forma, o investimento médio anual em treinamento por colaborador no Brasil é de apenas R$ 1.222 (cerca de US$ 250), valor insignificante perto do que se gasta com equipamentos e softwares de segurança. Enquanto a atualização do parque tecnológico é vista como “investimento”, a folha de pagamento continua sendo tratada como “despesa”. Essa miopia corporativa cobra seu preço: profissionais desvalorizados tendem a se descomprometer, e a segurança acaba enfraquecida de dentro para fora.
Não adianta erguer muralhas medievais se o portão principal está destrancado — ou, pior, se o porteiro está tão maltratado que decide ele mesmo destrancá-lo ou não se importar que está aberto. Em outras palavras, se a empresa negligencia quem guarda a chave, todo o resto do fortificado se torna irrelevante. Os milhões gastos em soluções de cibersegurança não compensam a falta de engajamento e ética de um time desmotivado.
Empresas que enxergam seus profissionais apenas como números acabam criando “gaps” em sua própria estrutura. Cada trabalhador desvalorizado ou exausto é como um sistema operando abaixo da capacidade: sujeito a erros críticos, brechas de segurança, falta de comprometimento e outras falhas que nem o melhor antivírus ou ferramenta de monitoramento consegue cobrir.
Não por acaso, estudos de segurança indicam que grande parte dos incidentes tem origem interna – um relatório global de 2024 revelou que 83% das organizações reportaram pelo menos um ataque originado de insiders (isto é, de dentro da empresa) no último ano. Isso reforça que o verdadeiro risco muitas vezes nasce dentro das corporações, e não fora.
No fim das contas, tecnologia não funciona sozinha. Sistemas de segurança podem bloquear invasões externas, mas não blindam o ativo mais importante de qualquer organização: as pessoas que escrevem os códigos, mantêm os sistemas, atendem os clientes e fazem tudo acontecer. Quando a cultura interna está contaminada pela desvalorização, o maior perigo para a empresa deixa de ser o hacker desconhecido e passa a ser a corrosão que vem de dentro.
Não importa o tamanho do orçamento em segurança se quem deveria defendê-lo está fragilizado, mal pago e desmotivado. O trabalhador é o sistema operacional de qualquer empresa — e quando ele “trava”, tudo para.
Por Emerson Morresi, presidente da Federação Nacional dos Trabalhadores de Tecnologia da Informação (Fenati) e Secretário Geral do Sindpd-SP
*Texto publicado originalmente pela revista Carta Capital
________________________________________________________________________________________________________________
Campanha Salarial começa no segundo semestre
A Campanha Salarial 2026 do Sindpd começa no segundo semestre deste ano e o seu lançamento promete ser em alto estilo! Vem aí o Sindpd On Fire, uma experiência inédita e ousada, exclusiva para sócios e contribuintes do sindicato e seus convidados!
Vale lembrar que é na campanha salarial que são definidas as reivindicações da categoria a serem levadas para a mesa de negociação com os patrões, para a celebração da próxima Convenção Coletiva de Trabalho (CCT). Os dois eixos centrais da pauta deste ano já estão definidos: o fim da escala 6×1 no setor de TI paulista e a conquista de aumento real nos salários, demandas que refletem a busca do Sindpd por melhores condições de trabalho e pela valorização dos profissionais de TI.
O Sindpd vai promover o maior open churrasco do Brasil, com shows ao vivo com Fernando e Sorocaba em grandes encontros que prometem fazer história. Já estão confirmados quatro eventos, em Campinas (16/08), Sorocaba (19/10), Ribeirão Preto (26/10) e São Paulo (15/11)! (Acesse o site oficial do Sindpd On Fire e saiba tudo)