87% das Empresas Estagnam em Simulações de Phishing: Roadmap do Nível 0 ao Avançado

TL;DR — Leia em 60 segundos

• 87% das empresas permanecem no nível básico de simulações de phishing, repetindo campanhas genéricas que não reduzem risco real.
• Simulação isolada não é estratégia: maturidade exige inteligência de ameaças, métricas comportamentais e integração com resposta a incidentes.
• Programas avançados combinam engenharia social contextualizada, automação, indicadores de risco humano e treinamento adaptativo.
• Sem monitoramento contínuo e governança executiva, a taxa de clique volta a subir em menos de seis meses.
• Empresas que evoluem para o nível avançado reduzem em até 70% a probabilidade de comprometimento inicial por e-mail.

O que é Simulações de Phishing e Campanhas e por que é crítico em 2026

Simulações de phishing são exercícios controlados em que a própria organização envia e-mails ou mensagens falsas aos colaboradores para medir comportamento, testar vulnerabilidades humanas e promover conscientização. Diferentemente de campanhas de marketing ou testes técnicos de segurança, essas simulações têm como foco a engenharia social — a exploração do fator humano como vetor primário de ataque. Em 2026, esse tema tornou-se ainda mais crítico porque o phishing evoluiu com o uso de inteligência artificial generativa, deepfakes de voz e personalização baseada em dados vazados. O atacante deixou de ser amador e passou a operar como uma empresa estruturada.

Estudos globais recentes indicam que mais de 90% dos incidentes começam por e-mail ou mensagem de engenharia social. No Brasil, segundo dados de relatórios públicos de ameaças, o país permanece entre os cinco mais atacados do mundo em volume de campanhas maliciosas. Setores como financeiro, saúde, educação e indústria são alvos constantes. Apesar disso, 87% das empresas ainda executam apenas campanhas básicas trimestrais, com modelos padronizados e métricas limitadas à taxa de clique. Isso cria uma falsa sensação de segurança.

Em 2026, o phishing não se limita ao e-mail. Ataques utilizam SMS, WhatsApp corporativo, redes sociais, plataformas de colaboração e até chamadas telefônicas automatizadas. A superfície de ataque expandiu-se com trabalho híbrido e uso massivo de dispositivos móveis. Simulações modernas precisam refletir esse cenário multicanal. Caso contrário, o programa não mede risco real, apenas gera estatísticas superficiais.

O ponto crítico é que o fator humano tornou-se o elo mais explorado na cadeia de ataque. Ferramentas de EDR, firewall e antivírus evoluíram, mas o usuário continua sendo suscetível à urgência psicológica, autoridade simulada e escassez artificial. Portanto, simulações de phishing deixaram de ser treinamento opcional e passaram a ser pilar estratégico de gestão de risco cibernético.

Como funciona na prática: Anatomia completa

Uma campanha profissional de simulação de phishing começa com definição de objetivos claros. O propósito pode ser medir maturidade geral, testar departamentos específicos ou validar controles técnicos como filtros de e-mail. Sem meta definida, a campanha vira apenas um disparo massivo sem contexto. A maturidade exige alinhamento entre segurança da informação, recursos humanos, jurídico e liderança executiva.

Em seguida, ocorre a segmentação de público. Empresas maduras não tratam todos os colaboradores de forma igual. Financeiro recebe cenários de fraude bancária; RH recebe falsos currículos maliciosos; executivos recebem ataques de spear phishing altamente personalizados. Essa abordagem aumenta realismo e gera dados mais precisos sobre risco humano.

Outro elemento essencial é a coleta e análise de métricas. Não basta medir quem clicou. É necessário avaliar quem reportou o e-mail, quanto tempo levou para denunciar, quem inseriu credenciais e qual o comportamento recorrente. A maturidade está na análise longitudinal, identificando padrões individuais e departamentais.

Finalmente, a resposta educacional deve ser imediata. Ao clicar, o colaborador deve receber feedback contextualizado, explicando os sinais ignorados. Treinamento genérico enviado semanas depois perde eficácia. Aprendizado eficaz ocorre no momento do erro.

Vetores e canais utilizados

Campanhas modernas simulam múltiplos vetores. Além de e-mail tradicional, incluem mensagens via plataformas colaborativas e simulações de SMS. Isso reflete a realidade de ataques atuais, que exploram ambientes fora do perímetro corporativo clássico. Empresas que simulam apenas e-mail deixam lacunas significativas.

Métricas de maturidade

Indicadores avançados incluem taxa de reporte voluntário, tempo médio de detecção interna e índice de reincidência por colaborador. Organizações no nível avançado integram essas métricas ao dashboard executivo, tratando risco humano como KPI estratégico.

Integração com resposta a incidentes

Simulações maduras testam também o SOC. Quando um colaborador reporta um e-mail falso, o time de segurança deve analisar, classificar e registrar. Isso transforma a simulação em exercício completo de prontidão operacional.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

O primeiro passo é avaliar maturidade atual. Isso inclui análise de campanhas anteriores, taxa histórica de cliques e nível de engajamento. Empresas frequentemente descobrem que não possuem dados consolidados ou que os relatórios são superficiais. Esse diagnóstico precisa mapear cultura organizacional, exposição digital e políticas internas.

Também é necessário identificar perfis críticos. Executivos, financeiro e TI costumam ser alvos prioritários. Mapear quem possui acesso privilegiado ajuda a definir campanhas direcionadas. Sem esse mapeamento, o programa permanece genérico.

Por fim, deve-se avaliar conformidade regulatória. LGPD exige proteção adequada de dados e treinamento contínuo. Simulações podem servir como evidência de diligência em auditorias e processos de compliance.

Fase 2: Planejamento e arquitetura

Nesta fase define-se calendário anual, frequência e diversidade de cenários. Campanhas previsíveis reduzem eficácia. Alternar temas, formatos e níveis de complexidade é essencial. Planejamento também inclui definição de métricas e metas de redução de risco.

A arquitetura tecnológica deve ser segura. Ferramentas precisam garantir que dados coletados não exponham colaboradores indevidamente. Transparência com RH e jurídico evita conflitos internos.

Por fim, comunicação executiva é fundamental. Liderança deve apoiar publicamente o programa, reforçando cultura de segurança e evitando percepção punitiva.

Fase 3: Implementação e testes

Antes do disparo massivo, testes controlados são realizados. Avalia-se se filtros internos não bloquearão a simulação e se o rastreamento funciona corretamente. A execução deve ocorrer em horários variados para capturar comportamentos reais.

Durante a campanha, monitoramento em tempo real permite ajustes. Caso haja taxa de clique anormalmente alta, pode-se interromper e analisar causa raiz. Feedback imediato aos participantes fortalece aprendizado.

Fase 4: Monitoramento contínuo

Após a campanha, relatórios detalhados devem ser apresentados à liderança. Tendências ao longo do tempo são mais relevantes que números isolados. Monitoramento contínuo permite identificar regressão comportamental.

Treinamentos adaptativos devem ser aplicados a grupos com maior vulnerabilidade. A cultura de segurança é construída com repetição, reforço positivo e comunicação constante.

Erros críticos e como evitá-los

Um erro comum é tratar simulação como evento isolado anual. Isso gera picos temporários de atenção, mas não consolida mudança cultural. Outro erro é usar modelos previsíveis que colaboradores rapidamente reconhecem. Também é crítico evitar abordagem punitiva, que cria resistência e subnotificação.

Empresas frequentemente negligenciam análise qualitativa, focando apenas em taxa de clique. Ignorar taxa de reporte é falha grave. Outro erro é não envolver liderança executiva, enfraquecendo prioridade estratégica. Campanhas sem segmentação reduzem realismo. Não integrar com SOC impede aprendizado operacional. Por fim, falhar na comunicação pós-campanha compromete confiança interna.

Ferramentas e tecnologias essenciais

Ferramenta | Categoria | Diferencial | Indicado para KnowBe4 | Plataforma de simulação | Grande biblioteca de templates | Empresas médias e grandes Proofpoint | Segurança e treinamento | Integração com gateway de e-mail | Ambientes corporativos complexos Microsoft Defender Attack Simulation | Integrado ao M365 | Nativo para clientes Microsoft | Empresas já no ecossistema Microsoft Cofense | Phishing defense | Forte foco em reporte e análise | Organizações com SOC estruturado GoPhish | Open source | Customização avançada | Times técnicos com maturidade PhishLabs | Inteligência de ameaças | Monitoramento externo de marca | Grandes corporações

Cada ferramenta possui vantagens específicas. A escolha depende de maturidade, orçamento e integração desejada.

Checklist completo de implementação

Prioridade alta inclui diagnóstico inicial, definição de metas, envolvimento jurídico, segmentação de usuários e escolha de plataforma. Prioridade média contempla calendário anual, integração com SOC, definição de métricas avançadas e comunicação interna estruturada. Prioridade contínua envolve análise de reincidência, atualização de cenários, treinamento adaptativo e reporte executivo trimestral. Também devem ser incluídos testes multicanal, avaliação de fornecedores, auditoria de logs, documentação para compliance, revisão anual de política de segurança, integração com onboarding, capacitação de gestores, definição de indicadores de risco humano e alinhamento com LGPD.

Casos reais e estudos de caso

Uma instituição financeira brasileira reduziu taxa de clique de 28% para 6% em 18 meses ao adotar segmentação avançada e treinamento adaptativo. Uma indústria multinacional identificou vulnerabilidade crítica em executivos após simulação de spear phishing, ajustando controles de acesso e autenticação multifator. Já uma empresa de saúde integrou simulações ao SOC 24x7, reduzindo tempo médio de resposta a e-mails suspeitos de horas para minutos.

Como a Decripte Resolve Simulações de Phishing e Campanhas: Serviços e Diferenciais

A Decripte atua com abordagem integrada que combina simulações avançadas, SOC 24x7 e resposta a incidentes. Diferentemente de plataformas isoladas, o programa conecta comportamento humano à inteligência de ameaças real. Isso permite criar cenários baseados em ataques ativos no Brasil.

O serviço inclui integração com compliance LGPD, geração de relatórios executivos e suporte estratégico. Empresas contam com acompanhamento contínuo e métricas evolutivas. O portal https://decripte.com.br/intelligence-center oferece diagnóstico inicial gratuito de exposição digital.

Mini tutorial em 3 passos: primeiro, realize diagnóstico gratuito no Intelligence Center. Segundo, agende reunião de alinhamento estratégico. Terceiro, ative o serviço com plano personalizado disponível em /planos.

Comece Agora Gratuitamente — Acesse o Intelligence Center da Decripte e receba um diagnóstico de exposição da sua empresa em menos de 5 minutos. Sem custo, sem compromisso.

Perguntas frequentes (FAQ)

1. Por que 87% das empresas estagnam em simulações básicas?

Porque tratam o processo como requisito de compliance e não como estratégia de redução de risco. Falta integração com métricas executivas e inteligência de ameaças.

2. Qual a frequência ideal de campanhas?

O ideal é mensal ou bimestral, variando cenários e níveis de complexidade para evitar previsibilidade e manter aprendizado contínuo.

3. Simulações devem ser punitivas?

Não. Cultura punitiva reduz reporte voluntário e cria ambiente de medo. O foco deve ser educacional.

4. Como medir maturidade real?

Analisando taxa de reporte, reincidência e tempo de resposta, não apenas cliques.

5. Executivos devem participar?

Sim. Liderança é alvo prioritário de spear phishing e precisa dar exemplo.

6. LGPD exige simulações?

Não explicitamente, mas exige medidas de segurança e treinamento contínuo, o que inclui conscientização.

7. Ferramentas gratuitas são suficientes?

Podem servir para início, mas empresas médias e grandes precisam recursos avançados e integração com SOC.

8. Quanto tempo para ver resultados?

Normalmente entre seis e doze meses de programa consistente.

9. Phishing via WhatsApp deve ser simulado?

Sim, especialmente em ambientes onde comunicação móvel é intensa.

10. Como evitar desgaste interno?

Com comunicação transparente e foco educacional.

11. Pequenas empresas precisam investir?

Sim, pois também são alvos frequentes e possuem menos camadas de defesa.

12. Qual o primeiro passo?

Realizar diagnóstico de maturidade e exposição digital.

Comece agora — diagnóstico gratuito em 5 minutos

A maturidade em simulações de phishing não acontece por acaso. Exige método, tecnologia e acompanhamento especializado. Empresas que permanecem no nível básico continuam vulneráveis a ataques sofisticados que exploram comportamento humano.

Acesse agora o Intelligence Center em https://decripte.com.br/intelligence-center e descubra o nível real de exposição da sua organização. O diagnóstico é gratuito, leva menos de cinco minutos e fornece visão inicial estratégica.

Se preferir avançar diretamente, conheça os planos personalizados em https://decripte.com.br/planos e explore conteúdos técnicos aprofundados no portal https://decripte.com.br/artigos. Segurança começa com decisão estratégica. O próximo passo é seu.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

A estagnação em simulações de phishing geralmente indica que a organização está enfrentando vetores mais sofisticados do que simples campanhas de e-mail com links maliciosos. No framework MITRE ATT&CK, essas campanhas evoluíram significativamente dentro da tática Initial Access (TA0001), especialmente nas técnicas T1566.001 (Spearphishing Attachment), T1566.002 (Spearphishing Link) e T1566.003 (Spearphishing via Service). Atacantes modernos utilizam infraestrutura comprometida previamente, domínios com reputação aquecida e serviços legítimos como Microsoft 365, Google Drive ou DocuSign para reduzir detecção por filtros tradicionais. Além disso, combinam engenharia social com dados coletados via OSINT para personalizar mensagens, aumentando drasticamente a taxa de conversão.

Após o clique inicial, observa-se a transição para Execution (TA0002), frequentemente por meio de T1204 (User Execution). Documentos maliciosos utilizam macros ofuscadas (T1059.005 – Visual Basic), payloads embutidos em arquivos ISO ou LNK, e técnicas “living-off-the-land” (LOLBins), como mshta.exe, rundll32.exe ou powershell.exe (T1059.001). Essa abordagem reduz dependências de malware customizado, dificultando a detecção baseada em assinatura. A execução fileless com carregamento direto em memória também reduz rastros em disco e explora lacunas em soluções EDR mal configuradas.

Em campanhas mais maduras, os atacantes avançam para Credential Access (TA0006) usando T1555 (Credentials from Password Stores) e T1003 (OS Credential Dumping). Ferramentas como Mimikatz ou técnicas DCSync são empregadas após elevação de privilégio (T1068). Em ambientes cloud, é comum observar abuso de tokens OAuth comprometidos (T1528 – Steal Application Access Token) e ataques de consent phishing, onde usuários autorizam aplicativos maliciosos com permissões persistentes.

A movimentação lateral subsequente enquadra-se em Lateral Movement (TA0008), incluindo T1021 (Remote Services) via SMB, RDP ou WinRM. A exploração de credenciais válidas (T1078 – Valid Accounts) torna-se particularmente eficaz quando MFA não é universal ou está limitado a perímetros tradicionais. Em ambientes híbridos, atacantes exploram sincronização AD Connect para pivotar entre on-premises e cloud, mantendo persistência via T1098 (Account Manipulation).

Por fim, a tática de Defense Evasion (TA0005) aparece em múltiplas etapas. Técnicas como T1562 (Impair Defenses) incluem desativação de logs, alteração de políticas de retenção e exclusão de evidências em ferramentas de monitoramento. A ofuscação de payload (T1027) e uso de canais criptografados legítimos (HTTPS com certificados válidos) tornam a inspeção profunda de pacotes menos eficaz sem TLS inspection adequada. A maturidade defensiva exige mapeamento contínuo das simulações ao ATT&CK para identificar lacunas específicas de controle.

Indicadores de Comprometimento e Detecção

A identificação precoce de IOCs (Indicators of Compromise) em campanhas de phishing avançadas depende da correlação entre múltiplas fontes de telemetria. Indicadores clássicos incluem domínios recém-registrados (menos de 30 dias), discrepâncias em SPF/DKIM/DMARC, e URLs com técnicas de typosquatting ou uso de Punycode. No entanto, ambientes maduros devem priorizar IOAs (Indicators of Attack) comportamentais, como criação anômala de regras de encaminhamento em caixas de e-mail (Exchange Audit Logs – Operation: New-InboxRule).

No SIEM, regras de detecção devem correlacionar eventos como:

• Login bem-sucedido seguido de falhas MFA repetidas.
• Criação de aplicação OAuth com permissões Mail.ReadWrite e Files.Read.All.
• Execução de powershell.exe com parâmetros -EncodedCommand.
• Conexões RDP originadas de países não usuais para aquele usuário.

Consultas em KQL (Microsoft Sentinel) ou SPL (Splunk) devem considerar baseline comportamental, evitando excesso de falsos positivos. Exemplo em KQL: detectar múltiplos logins bem-sucedidos de ASN distintos em intervalo inferior a 60 minutos.

Regras YARA são particularmente úteis para detecção de artefatos em anexos maliciosos. Um exemplo eficaz inclui identificação de macros VBA com padrões como AutoOpen() e strings codificadas em Base64 extensas. Adicionalmente, regras podem buscar uso suspeito de API CreateObject("Wscript.Shell") combinada com chamadas a cmd.exe. O monitoramento deve integrar sandbox automatizado para detonação de anexos suspeitos.

A detecção de persistência em ambientes cloud requer análise de logs do Azure AD, Google Workspace ou Okta. IOCs relevantes incluem concessão de consentimento administrativo fora do horário comercial, alteração de políticas de Conditional Access e criação de contas globais com privilégios elevados. A retenção mínima recomendada de logs é de 180 dias, com armazenamento imutável (WORM) para preservar cadeia de custódia.

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

O primeiro trimestre deve focar em avaliação objetiva da maturidade atual. Isso inclui execução de campanhas de phishing segmentadas por perfil (operacional, técnico e executivo), análise de taxa de clique, taxa de reporte e tempo médio de reporte (MTTR – Mean Time to Report). Paralelamente, realizar assessment técnico dos controles existentes: configuração de SPF, DKIM, DMARC (policy enforcement), eficácia do Secure Email Gateway e cobertura de logs no SIEM.

É essencial conduzir mapeamento de controles ao MITRE ATT&CK para identificar quais técnicas não possuem detecção associada. Ferramentas BAS (Breach and Attack Simulation) podem validar capacidade de resposta a payloads fileless. O diagnóstico deve culminar em um relatório executivo com indicadores claros: percentual de usuários suscetíveis, tempo médio de detecção e lacunas tecnológicas críticas.

Métricas de sucesso da Fase 1 incluem: 100% dos domínios com DMARC em modo reject, baseline comportamental estabelecido para autenticações e inventário completo de fontes de log integradas ao SIEM.

Fase 2: Fundação (Meses 4-6)

Nesta fase, a organização implementa controles estruturais. Adoção obrigatória de MFA resistente a phishing (FIDO2 ou passkeys), segmentação de rede baseada em identidade e hardening de endpoints com políticas de bloqueio de macros. Implantação ou otimização de EDR com cobertura mínima de 95% dos ativos é fundamental.

Simultaneamente, iniciar programa contínuo de conscientização adaptativa, onde usuários com maior risco recebem treinamentos personalizados. Integrar botão de reporte de phishing ao cliente de e-mail, automatizando abertura de ticket e análise sandbox.

Métricas de sucesso: redução de 30% na taxa de clique em relação ao baseline, aumento de 50% na taxa de reporte voluntário e cobertura total de MFA para contas privilegiadas.

Fase 3: Operação (Meses 7-9)

Com a base estabelecida, a organização deve evoluir para detecção proativa. Implementar playbooks SOAR para resposta automática a eventos como criação suspeita de regra de e-mail ou login de alto risco. Realizar exercícios de Red Team focados em spearphishing executivo (whaling) e consent phishing em ambiente controlado.

A maturidade operacional exige KPIs como MTTD (Mean Time to Detect) inferior a 30 minutos para eventos críticos e MTTR inferior a 4 horas para contenção inicial. O SOC deve operar com dashboards específicos para phishing, incluindo métricas de trending mensal.

Métricas de sucesso: 90% dos incidentes simulados detectados automaticamente e redução sustentada da taxa de clique abaixo de 5%.

Fase 4: Otimização (Meses 10-12)

A fase final concentra-se em resiliência e melhoria contínua. Implementar threat hunting direcionado a TTPs emergentes e atualizar continuamente regras SIEM/YARA com base em inteligência de ameaças. Conduzir auditoria externa independente para validar eficácia dos controles.

Adotar métricas de risco financeiro estimado por incidente evitado, traduzindo ganhos técnicos em linguagem executiva. Introduzir testes A/B em campanhas de phishing para medir impacto de diferentes abordagens educacionais.

Métricas de sucesso: taxa de reporte superior a 25%, zero contas privilegiadas comprometidas em simulações avançadas e redução comprovada de exposição a técnicas ATT&CK previamente não cobertas.

Perguntas Aprofundadas de Executivos Seniores

1. Qual é o risco financeiro real associado à nossa atual taxa de falha em phishing?

O risco financeiro deve ser calculado considerando probabilidade e impacto. A probabilidade deriva da taxa de suscetibilidade observada nas simulações, ajustada pela sofisticação crescente dos ataques reais. Já o impacto inclui custos diretos (resposta a incidentes, multas regulatórias, honorários jurídicos) e indiretos (interrupção operacional, perda de reputação, queda no valor de mercado). Estudos indicam que incidentes iniciados por phishing frequentemente evoluem para ransomware, cujo custo médio global ultrapassa milhões de dólares por evento, considerando downtime e recuperação. Além disso, há impactos regulatórios significativos sob LGPD e GDPR, com multas baseadas em percentual de faturamento. A análise deve integrar dados internos — como tempo médio de resposta atual e maturidade de backup — para estimar exposição líquida. Sem mitigação adequada, a taxa de clique observada pode representar probabilidade estatística concreta de incidente material nos próximos 12 a 24 meses.

2. Estamos investindo em treinamento ou em mudança comportamental mensurável?

Treinamento isolado não garante redução de risco. O foco deve ser mudança comportamental sustentada, medida por indicadores como taxa de reporte espontâneo, tempo médio de reporte e reincidência individual. Programas eficazes utilizam microlearning contínuo, reforço positivo e campanhas contextualizadas ao negócio. Além disso, integração com métricas de performance pode incentivar adesão sem criar cultura punitiva. A análise de dados deve segmentar usuários por área, função e exposição a dados sensíveis, permitindo abordagem direcionada. Investimento deve ser avaliado não apenas pelo custo do programa, mas pelo ROI associado à redução de probabilidade de incidente crítico. Sem métricas comportamentais claras, a organização permanece em modelo de conformidade superficial, sem transformação real de postura de segurança.

3. Nosso ambiente cloud introduziu novos vetores que não existiam há três anos?

A migração para cloud expandiu significativamente a superfície de ataque. Vetores como consent phishing, abuso de tokens OAuth e comprometimento de contas SaaS não dependem mais de malware tradicional. A autenticação federada e sincronização híbrida criam caminhos de movimentação lateral invisíveis a controles legados. Além disso, aplicações SaaS frequentemente operam fora do perímetro tradicional de monitoramento, exigindo CASB ou soluções SSE. Logs cloud possuem granularidade distinta e exigem retenção adequada para investigação forense. Sem visibilidade unificada entre ambientes on-prem e cloud, a organização pode ter falsa sensação de segurança baseada apenas em controles históricos.

4. Como podemos medir maturidade de forma comparável ao mercado?

A maturidade pode ser avaliada por frameworks como NIST CSF, ISO 27001 e mapeamento ao MITRE ATT&CK. Indicadores comparáveis incluem taxa de clique inferior a 5%, MFA resistente a phishing universal para contas críticas e MTTD inferior a 30 minutos. Benchmarks de mercado indicam que organizações de alta maturidade possuem automação SOAR integrada e cobertura EDR acima de 95%. Participação em exercícios de threat intelligence colaborativa também demonstra avanço. A comparação deve considerar setor e porte, pois exposição varia significativamente. Métricas objetivas permitem justificar orçamento com base em lacunas concretas frente ao mercado.

5. Qual é o nível aceitável de risco e quando atingimos resiliência adequada?

Risco zero é inatingível; o objetivo é reduzir probabilidade e impacto a níveis aceitáveis definidos pelo apetite de risco corporativo. Resiliência adequada ocorre quando a organização consegue detectar, conter e erradicar ataques antes de impacto material. Indicadores incluem capacidade comprovada de restaurar operações críticas em menos de 24 horas, ausência de contas privilegiadas sem MFA forte e testes regulares de recuperação. A definição deve ser formalizada em comitê executivo, alinhando segurança à estratégia de negócio. O equilíbrio entre investimento e redução de risco precisa ser revisado anualmente, considerando cenário de ameaças em constante evolução.