Superfície de Ataque Invisível: Roadmap de Maturidade do Nível 0 ao Avançado (#1268)

TL;DR — Leia em 60 segundos

• A superfície de ataque invisível é composta por ativos, integrações, credenciais e fluxos técnicos que não estão formalmente mapeados, mas permanecem expostos e exploráveis por atacantes.
• Em 2026, a maior parte das violações não ocorre por falhas sofisticadas, mas por ativos esquecidos, APIs não inventariadas, subdomínios órfãos e integrações de terceiros mal monitoradas.
• Empresas maduras operam com monitoramento contínuo de exposição externa, gestão ativa de vulnerabilidades e validação constante de ativos em nuvem, SaaS e ambientes híbridos.
• O roadmap de maturidade vai do Nível 0, onde não há visibilidade real do ambiente, até o estágio avançado, com inteligência contínua, automação e resposta proativa orientada a risco.

O que é Vulnerabilidades Técnicas Não Mapeadas e por que é crítico em 2026

Vulnerabilidades Técnicas Não Mapeadas representam falhas existentes em ativos que a organização sequer sabe que possui ou que ainda estão ativos. São sistemas legados esquecidos, ambientes de homologação expostos à internet, APIs publicadas sem autenticação robusta, buckets de armazenamento mal configurados, domínios abandonados com registros DNS ativos, credenciais vazadas em repositórios públicos e integrações de terceiros que nunca passaram por validação de segurança formal. A criticidade não está apenas na falha em si, mas na ausência de visibilidade e governança sobre esses elementos.

Em 2026, o cenário brasileiro de ameaças digitais se tornou mais agressivo e automatizado. Grupos de ransomware utilizam scanners massivos para identificar portas abertas, serviços desatualizados e endpoints vulneráveis em escala global. Bots realizam enumeração constante de subdomínios, APIs e serviços expostos. O atacante moderno não precisa invadir manualmente uma organização; ele automatiza o reconhecimento e explora o elo mais fraco. Quando a empresa não conhece completamente sua própria superfície de ataque, ela oferece esse elo sem perceber.

Estudos internacionais de mercado apontam que mais de 30 por cento dos ativos expostos de grandes empresas não estão documentados oficialmente nos inventários internos. No Brasil, esse número tende a ser ainda maior devido à rápida adoção de soluções em nuvem, à descentralização de equipes de TI e ao uso crescente de ferramentas SaaS sem governança centralizada. Cada nova integração com marketing, RH, financeiro ou atendimento amplia a superfície de ataque invisível.

O fator regulatório amplia a criticidade. A LGPD impõe responsabilidade sobre a proteção de dados pessoais, independentemente de onde estejam armazenados. Se uma base esquecida em um servidor antigo for comprometida, a responsabilidade jurídica permanece. Portanto, Vulnerabilidades Técnicas Não Mapeadas não são apenas um problema técnico; são um risco estratégico, reputacional e regulatório.

Além disso, a transformação digital acelerada criou ambientes híbridos complexos. Empresas operam simultaneamente em data centers próprios, múltiplos provedores de nuvem, plataformas SaaS e integrações via API. Cada camada adiciona complexidade. Sem um modelo estruturado de maturidade, a organização opera no escuro, acreditando que seu firewall e antivírus tradicionais são suficientes, quando na prática o risco está fora do perímetro clássico.

Como funciona na prática: Anatomia completa

A superfície de ataque invisível nasce da soma de decisões técnicas descentralizadas ao longo do tempo. Um projeto piloto sobe um servidor temporário. Um desenvolvedor cria uma API para testes. Uma área contrata uma ferramenta SaaS e integra via token permanente. Um fornecedor recebe acesso remoto e nunca tem sua conta desativada. Cada um desses eventos, isoladamente, parece pequeno. Coletivamente, formam um ecossistema de exposição invisível.

Na prática, o atacante inicia pelo reconhecimento externo. Ele identifica domínios relacionados à marca, verifica certificados digitais, enumera subdomínios e analisa registros DNS históricos. Em seguida, busca serviços expostos, como RDP, SSH, bancos de dados, aplicações web e APIs. Ferramentas automatizadas correlacionam essas informações com bases públicas de vulnerabilidades conhecidas. Se encontram uma versão desatualizada de software com exploração pública disponível, a intrusão pode ocorrer em minutos.

A anatomia da falha geralmente envolve três camadas: exposição, vulnerabilidade e ausência de detecção. Primeiro, há um ativo exposto. Segundo, existe uma falha técnica ou configuração inadequada. Terceiro, não há monitoramento efetivo que identifique comportamento anômalo. Quando essas três condições se alinham, o incidente é praticamente inevitável.

Ativos órfãos e Shadow IT

Ativos órfãos são sistemas que permanecem online após o encerramento de projetos ou mudanças estruturais. Muitas vezes ficam hospedados em contas de nuvem criadas por equipes específicas. Shadow IT, por sua vez, refere-se a tecnologias adotadas sem aprovação formal da área de segurança. Ferramentas de CRM, automação de marketing e plataformas de atendimento são frequentemente integradas via API, criando novos pontos de entrada.

No contexto brasileiro, é comum empresas médias contratarem agências de desenvolvimento que publicam aplicações em ambientes próprios e, após o término do contrato, esses ambientes permanecem ativos. Se não houver cláusula clara de encerramento e auditoria, a superfície de ataque cresce silenciosamente.

Integrações e APIs não governadas

APIs são o tecido conectivo da transformação digital. No entanto, cada API exposta é uma porta lógica. Quando não há gateway centralizado, autenticação forte e monitoramento de tráfego, a empresa perde controle sobre quem acessa o quê. Tokens estáticos, ausência de limitação de requisições e falta de validação de entrada ampliam o risco.

Além disso, integrações com parceiros podem gerar dependências indiretas. Se o parceiro for comprometido e houver confiança implícita na comunicação, o atacante pode explorar essa relação para avançar lateralmente.

Configurações incorretas em nuvem

Configurações incorretas continuam entre as principais causas de incidentes. Buckets de armazenamento públicos, permissões excessivas em identidades, chaves de acesso expostas e ausência de segmentação de rede são falhas recorrentes. A nuvem não é insegura por natureza; ela exige governança adequada. Sem processos maduros, a elasticidade que facilita negócios também facilita erros.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

O primeiro passo é reconhecer que o inventário interno raramente reflete a realidade completa. É necessário realizar descoberta ativa de ativos externos e internos. Isso envolve varredura de domínios, identificação de subdomínios, análise de certificados digitais, mapeamento de IPs associados à organização e levantamento de serviços expostos.

Paralelamente, deve-se entrevistar áreas de negócio para entender quais ferramentas SaaS estão em uso. Muitas vezes, contratos são firmados sem envolvimento da TI. A consolidação dessas informações cria a primeira fotografia real da superfície de ataque.

Também é fundamental cruzar dados com fontes públicas, como repositórios de código, vazamentos de credenciais e menções a ativos em bases de dados abertas. Essa etapa revela exposições que a própria empresa desconhece.

Fase 2: Planejamento e arquitetura

Com o diagnóstico em mãos, a organização precisa priorizar riscos. Nem todo ativo exposto representa o mesmo nível de criticidade. Sistemas que tratam dados pessoais sensíveis ou financeiros devem receber prioridade máxima. A arquitetura de segurança deve incluir segmentação de rede, autenticação multifator, centralização de logs e políticas de menor privilégio.

É nessa fase que se define a adoção de ferramentas de gestão de superfície de ataque externa, integração com SIEM e implementação de políticas de hardening. O planejamento deve considerar crescimento futuro, evitando soluções pontuais que não escalam.

Além disso, é necessário alinhar a estratégia com requisitos regulatórios e com a matriz de riscos corporativa. Segurança não pode ser isolada do negócio; ela precisa estar integrada à governança.

Fase 3: Implementação e testes

A implementação envolve correção de vulnerabilidades identificadas, desativação de ativos desnecessários, revisão de permissões e aplicação de atualizações críticas. Testes de intrusão são recomendados para validar se as correções foram eficazes.

Simulações de ataque ajudam a medir a capacidade de detecção e resposta. Não basta fechar portas; é preciso verificar se tentativas de exploração geram alertas adequados.

A documentação de todas as ações cria base para auditorias futuras e fortalece a cultura de segurança.

Fase 4: Monitoramento contínuo

A superfície de ataque é dinâmica. Novos ativos surgem constantemente. Portanto, o monitoramento deve ser contínuo. Ferramentas automatizadas de descoberta externa devem rodar regularmente, alertando sobre novos subdomínios ou serviços expostos.

Integração com um SOC 24x7 garante que atividades suspeitas sejam analisadas rapidamente. Métricas de tempo médio de detecção e resposta devem ser acompanhadas pela liderança.

Revisões periódicas de permissões e acessos completam o ciclo, garantindo que a maturidade evolua continuamente.

Erros críticos e como evitá-los

Um erro comum é acreditar que inventário manual em planilha é suficiente. Ambientes modernos mudam diariamente, tornando controles manuais obsoletos rapidamente. Outro erro é tratar segurança como projeto pontual, quando deveria ser processo contínuo.

Ignorar integrações de terceiros também é recorrente. Empresas confiam excessivamente em fornecedores sem exigir evidências de controles de segurança. Falta de segmentação de rede permite que um único ponto comprometido afete todo o ambiente.

Outro erro crítico é não desativar acessos de ex-colaboradores imediatamente. Contas ativas são portas abertas. Também é falha grave não aplicar patches críticos em tempo hábil, especialmente em serviços expostos à internet.

Subestimar a importância de logs centralizados impede investigações eficazes. Muitas organizações só percebem lacunas quando já sofreram incidente.

Ferramentas e tecnologias essenciais

Ferramenta | Finalidade | Benefício Estratégico --- | --- | --- Plataformas de Attack Surface Management | Descoberta contínua de ativos externos | Visibilidade proativa da exposição SIEM | Correlação de eventos e logs | Detecção centralizada EDR | Monitoramento de endpoints | Resposta rápida a ameaças Scanner de Vulnerabilidades | Identificação de falhas técnicas | Priorização baseada em risco CASB | Controle de uso de SaaS | Redução de Shadow IT WAF | Proteção de aplicações web | Mitigação de ataques comuns

Cada ferramenta deve ser integrada a um ecossistema maior. Tecnologia isolada não resolve o problema sem processos e pessoas capacitadas.

Checklist completo de implementação

Prioridade Alta inclui inventário completo de ativos externos, ativação de autenticação multifator, aplicação de patches críticos, desativação de sistemas obsoletos e centralização de logs.

Prioridade Média envolve implementação de varreduras periódicas, revisão de permissões, testes de intrusão anuais, políticas formais de onboarding e offboarding.

Prioridade Contínua inclui monitoramento 24x7, treinamento de equipes, auditorias internas e atualização constante da matriz de riscos.

Casos reais e estudos de caso

Um banco regional brasileiro sofreu incidente após API de homologação ser exposta sem autenticação. A falha não estava documentada no inventário oficial. O atacante explorou a API para extrair dados de clientes. A investigação revelou ausência de processo formal de desativação de ambientes de teste.

Uma empresa de varejo teve bucket de armazenamento exposto com dados de consumidores. O erro ocorreu durante migração para nuvem. Não havia revisão independente de configuração. O vazamento resultou em investigação regulatória.

Uma indústria foi vítima de ransomware após credencial antiga de fornecedor permanecer ativa. O acesso remoto permitiu movimentação lateral. A ausência de segmentação ampliou impacto.

Como a Decripte Resolve Vulnerabilidades Técnicas Não Mapeadas: Serviços e Diferenciais

A Decripte atua com abordagem integrada, combinando SOC 24x7, Resposta a Incidentes, Pentest avançado e adequação à LGPD. O monitoramento contínuo identifica ativos expostos antes que sejam explorados. A equipe de inteligência cruza dados públicos e privados para mapear superfície de ataque real.

O serviço de Pentest valida tecnicamente vulnerabilidades e fornece plano de remediação priorizado. A atuação em LGPD garante alinhamento regulatório e documentação adequada para auditorias.

No Intelligence Center disponível em https://decripte.com.br/intelligence-center, empresas podem realizar diagnóstico inicial gratuito de exposição externa. O processo é simples: primeiro, acessar a plataforma e inserir o domínio corporativo para análise preliminar. Segundo, participar de reunião de alinhamento com especialista para interpretar resultados. Terceiro, ativar serviço adequado conforme nível de maturidade identificado.

Comece Agora Gratuitamente — Acesse o Intelligence Center da Decripte e receba um diagnóstico de exposição da sua empresa em menos de 5 minutos. Sem custo, sem compromisso.

Perguntas frequentes (FAQ)

O que são Vulnerabilidades Técnicas Não Mapeadas?

São falhas existentes em ativos que não constam oficialmente no inventário da empresa. Incluem sistemas esquecidos, APIs não documentadas e integrações ocultas. O risco é ampliado pela ausência de monitoramento.

Por que esse tema ganhou relevância recente?

A expansão de nuvem e SaaS descentralizou a TI. Ativos são criados rapidamente, muitas vezes sem governança central, aumentando pontos cegos.

Como identificar ativos desconhecidos?

Por meio de ferramentas de descoberta externa, análise de DNS, certificados digitais e monitoramento contínuo de exposição.

Pequenas empresas também estão em risco?

Sim. Ataques automatizados não distinguem porte. Qualquer ativo vulnerável pode ser explorado.

Qual a relação com LGPD?

Se dados pessoais forem comprometidos em ativo não mapeado, a empresa continua responsável legalmente.

Antivirus resolve esse problema?

Não. Antivirus atua em endpoints, mas não identifica ativos externos desconhecidos.

Qual a diferença entre vulnerabilidade e exposição?

Exposição é o ativo acessível externamente; vulnerabilidade é a falha técnica que pode ser explorada.

Como priorizar correções?

Baseando-se na criticidade do ativo, sensibilidade dos dados e facilidade de exploração.

O que é Attack Surface Management?

É prática contínua de descoberta e monitoramento de ativos expostos.

Teste de intrusão substitui monitoramento contínuo?

Não. Pentest é pontual; monitoramento é permanente.

Fornecedores devem ser incluídos?

Sim. A cadeia de suprimentos amplia superfície de ataque.

Quanto tempo leva para evoluir maturidade?

Depende do porte e complexidade, mas roadmap estruturado pode gerar avanços significativos em poucos meses.

Comece agora — diagnóstico gratuito em 5 minutos

Empresas que desejam reduzir exposição invisível precisam agir imediatamente. Acesse https://decripte.com.br/intelligence-center e realize diagnóstico inicial sem custo. Em poucos minutos, você terá visão preliminar da sua superfície de ataque externa.

Conheça também os planos completos em https://decripte.com.br/planos e aprofunde seu conhecimento no portal https://decripte.com.br/artigos.

Segurança não é projeto pontual. É disciplina contínua. O primeiro passo começa com visibilidade. A Decripte está pronta para apoiar sua jornada rumo à maturidade avançada.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

A superfície de ataque invisível é frequentemente explorada por meio de técnicas descritas na matriz MITRE ATT&CK, especialmente nas fases de Reconhecimento (TA0043) e Resource Development (TA0042). Atacantes utilizam T1595 (Active Scanning) e T1590 (Gather Victim Network Information) para mapear ativos esquecidos, subdomínios órfãos e serviços expostos inadvertidamente. Ferramentas como masscan, Shodan, Censys e scripts automatizados permitem identificar rapidamente portas abertas, banners de serviços e versões vulneráveis. Esse reconhecimento externo geralmente antecede campanhas de exploração direcionadas a ativos que não estão no inventário oficial da organização.

Uma vez identificados os alvos, técnicas de Initial Access (TA0001) como T1190 (Exploit Public-Facing Application) e T1133 (External Remote Services) tornam-se predominantes. Aplicações web desatualizadas, APIs shadow e instâncias de VPN mal configuradas compõem uma parte significativa da superfície invisível. A exploração de vulnerabilidades conhecidas (CVE-based exploitation) ou falhas de autenticação fraca permite o estabelecimento de acesso inicial sem necessidade de phishing, reduzindo a probabilidade de detecção por controles tradicionais de e-mail.

Na fase de Execution (TA0002) e Persistence (TA0003), técnicas como T1059 (Command and Scripting Interpreter) e T1505 (Server Software Component) são comuns em ambientes comprometidos por meio de ativos expostos. Web shells implantados em servidores esquecidos permitem persistência discreta. Além disso, T1098 (Account Manipulation) pode ser utilizada para criar contas administrativas secundárias em sistemas negligenciados, ampliando o tempo de permanência do adversário sem alertar controles centrais de IAM.

O movimento lateral (TA0008) em ambientes com visibilidade limitada frequentemente envolve T1021 (Remote Services) e T1550 (Use of Alternate Authentication Material). Uma vez dentro de um servidor periférico, o atacante pode capturar hashes (T1003 - OS Credential Dumping) e reutilizá-los para pivotar internamente. A ausência de monitoramento em ativos não catalogados facilita esse deslocamento silencioso, especialmente quando não há segmentação de rede adequada.

Por fim, na fase de Exfiltration (TA0010) e Impact (TA0040), técnicas como T1041 (Exfiltration Over C2 Channel) e T1486 (Data Encrypted for Impact) demonstram como a superfície invisível pode ser utilizada tanto para extração silenciosa de dados quanto como ponto inicial para ransomware. Ativos esquecidos funcionam como zonas de staging, permitindo compactação e criptografia de dados antes da exfiltração, reduzindo anomalias perceptíveis no tráfego principal.

Indicadores de Comprometimento e Detecção

Indicadores de Comprometimento (IOCs) associados à exploração da superfície invisível incluem padrões anômalos de varredura (picos de SYN em portas específicas), requisições HTTP com payloads suspeitos, criação inesperada de contas administrativas e alterações em arquivos críticos de aplicações web. Logs de firewall e WAF frequentemente revelam tentativas repetidas de exploração de endpoints pouco utilizados, como /backup, /old, /dev ou subdomínios depreciados.

Em ambientes SIEM, regras de correlação devem considerar comportamento fora do baseline histórico. Por exemplo, um servidor classificado como “legado” gerando tráfego de saída criptografado para domínios recém-criados (indicador relacionado a DGA – Domain Generation Algorithms) deve gerar alerta de alta criticidade. Correlações entre autenticações bem-sucedidas fora do horário comercial e origens geográficas incomuns também são fundamentais.

Regras YARA podem ser aplicadas para detecção de web shells e artefatos maliciosos implantados em diretórios negligenciados. Assinaturas que busquem padrões como eval(base64_decode()), strings típicas de shells PHP ou chamadas suspeitas a cmd.exe auxiliam na identificação precoce. A integração dessas regras a pipelines de CI/CD fortalece a detecção preventiva em repositórios internos.

Além disso, a análise de DNS logs pode revelar beaconing discreto associado a C2. Consultas periódicas com intervalos regulares e baixo volume de dados são características de exfiltração furtiva. A implementação de detecção baseada em comportamento (UEBA) amplia a capacidade de identificar desvios mesmo quando não há IOC conhecido, reduzindo dependência exclusiva de listas de bloqueio.

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

O primeiro trimestre deve focar na descoberta abrangente de ativos internos e externos. Isso inclui varreduras automatizadas, análise de DNS, revisão de contratos com terceiros e inventário de aplicações SaaS. Métrica-chave: atingir 95% de cobertura de ativos identificados em comparação com registros financeiros e de procurement.

A organização deve conduzir avaliações de risco baseadas em exposição real, classificando ativos por criticidade e probabilidade de exploração. Ferramentas ASM (Attack Surface Management) devem ser implementadas para monitoramento contínuo. Indicador de sucesso: redução de 30% em ativos desconhecidos após reconciliação inicial.

Por fim, relatórios executivos devem consolidar lacunas encontradas, com indicadores como número de portas expostas desnecessariamente e aplicações sem MFA. A meta é estabelecer baseline mensurável para comparação futura.

Fase 2: Fundação (Meses 4-6)

Nesta etapa, prioriza-se correção estrutural: desativação de ativos obsoletos, aplicação de patches críticos e implementação de MFA universal. Métrica principal: 100% dos ativos críticos protegidos por autenticação forte.

Segmentação de rede deve ser reforçada, limitando movimento lateral. Adoção de modelo Zero Trust reduz dependência de perímetro tradicional. Indicador de sucesso: redução mensurável no número de caminhos possíveis de lateralização identificados em testes de Red Team.

Adicionalmente, integração de logs ao SIEM deve alcançar pelo menos 90% dos ativos catalogados. A cobertura de monitoramento torna-se KPI estratégico, com auditorias mensais validando integridade dos registros.

Fase 3: Operação (Meses 7-9)

Com a fundação estabelecida, inicia-se operação contínua. Times de SOC devem monitorar alertas específicos de superfície de ataque externa. Métrica: tempo médio de detecção (MTTD) inferior a 24 horas para novos ativos expostos.

Exercícios de Purple Team validam eficácia dos controles implantados. Testes simulando exploração de aplicações esquecidas medem capacidade de resposta. Indicador-chave: redução de 40% no tempo médio de resposta (MTTR) em comparação ao baseline inicial.

Processos de gestão de vulnerabilidades passam a operar em ciclos quinzenais para ativos críticos. Relatórios devem demonstrar SLA de correção inferior a 15 dias para falhas de alta severidade.

Fase 4: Otimização (Meses 10-12)

Na fase final, foco em automação e inteligência preditiva. Implementação de SOAR para resposta automatizada reduz intervenção manual. Métrica: 60% dos incidentes de baixa complexidade tratados automaticamente.

Integração com feeds de threat intelligence permite correlação contextualizada. A organização deve medir redução de falsos positivos em pelo menos 25%, aumentando eficiência operacional.

Auditoria independente ao final do ciclo avalia maturidade alcançada. Indicador estratégico: aumento do score de maturidade em frameworks como NIST CSF ou ISO 27001, comprovando evolução tangível.

Perguntas Aprofundadas de Executivos Seniores

1. Qual é o impacto financeiro real da superfície de ataque invisível para a organização? A superfície invisível representa risco financeiro direto e indireto. Diretamente, pode resultar em multas regulatórias, custos de resposta a incidentes, honorários legais e perda de receita por interrupção operacional. Indiretamente, afeta valor de marca, confiança de investidores e vantagem competitiva. Estudos indicam que violações originadas em ativos não catalogados tendem a ter maior tempo de permanência, elevando custos médios de incidente. Além disso, seguros cibernéticos podem negar cobertura caso seja comprovada negligência na gestão de ativos. Portanto, investir em visibilidade e governança reduz não apenas probabilidade de incidente, mas também exposição financeira cumulativa ao longo dos anos.

2. Como justificar o investimento em ASM e Zero Trust para o conselho? A justificativa deve alinhar risco cibernético a métricas de negócio. ASM e Zero Trust reduzem probabilidade de incidentes de alto impacto, protegendo EBITDA e continuidade operacional. A apresentação ao conselho deve incluir cenários quantitativos: custo estimado de um ransomware versus investimento anual em prevenção. Além disso, conformidade regulatória crescente exige controles demonstráveis. Empresas com maturidade elevada apresentam menor volatilidade após incidentes e maior resiliência operacional, fatores valorizados pelo mercado e por acionistas.

3. Qual é o risco estratégico de não agir nos próximos 12 meses? A inação amplia a discrepância entre transformação digital e governança de segurança. Novos ativos digitais surgem continuamente, expandindo superfície invisível exponencialmente. A ameaça evolui com uso de automação e IA por adversários, reduzindo tempo entre descoberta e exploração. Organizações que não acompanham essa evolução tornam-se alvos preferenciais por apresentarem menor custo de ataque. Em termos estratégicos, isso pode comprometer planos de expansão, fusões ou entrada em novos mercados regulados.

4. Como medir maturidade de forma objetiva e reportável? Maturidade deve ser mensurada por KPIs claros: percentual de ativos monitorados, tempo médio de correção, cobertura de MFA, taxa de detecção precoce e redução de exposição externa. Frameworks reconhecidos fornecem parâmetros comparativos. Relatórios trimestrais ao board devem traduzir métricas técnicas em indicadores de risco residual, permitindo decisões informadas sobre priorização de investimentos.

5. Qual o papel da cultura organizacional na redução da superfície invisível? Tecnologia isolada não resolve expansão descontrolada de ativos. Cultura de responsabilidade compartilhada é essencial. Times de desenvolvimento devem registrar novos serviços antes da publicação; áreas de negócio precisam comunicar contratações SaaS; TI deve manter inventário vivo. Incentivos alinhados à governança digital reduzem shadow IT. Quando segurança é integrada à estratégia corporativa, a superfície invisível deixa de ser subproduto inevitável da inovação e passa a ser variável gerenciável dentro do apetite de risco definido pela liderança.