Como contratar uma empresa de cibersegurança: guia de decisão para gestores

Resposta direta

Para contratar uma empresa de cibersegurança, avalie primeiro o escopo exato de que você precisa — pentest, SOC, resposta a incidentes ou conformidade — e depois verifique certificações da equipe (OSCP, CISSP, ISO 27001), metodologia documentada, referências de clientes no seu setor, SLA de resposta, cláusula de NDA e formato dos relatórios entregues. Peça uma proposta com precificação detalhada e recuse fornecedores que não ofereçam reteste sem custo adicional ou relatório executivo.

Em resumo

  • Defina o escopo antes de pedir propostas: serviços diferentes (pentest, SOC, vCISO) respondem a perguntas de negócio completamente distintas.
  • Certificações individuais da equipe (OSCP, CISM, CEH) importam mais do que certificações genéricas da empresa.
  • SLA de comunicação de incidente crítico deve ser ≤ 2 horas; exija isso em contrato, não apenas em apresentações.
  • Todo contrato de cibersegurança precisa de NDA robusto, cláusula de responsabilidade limitada e alinhamento explícito com a LGPD.
  • Preço anormalmente baixo, ausência de reteste e falta de relatório executivo são os três maiores sinais de alerta do mercado.
  • A Decripte atende empresas de 1 a mais de 100.000 colaboradores com planos escaláveis — do MEI ao Enterprise — com diagnóstico gratuito como ponto de partida.

Por que contratar uma empresa de cibersegurança — e quando o momento certo chegou

A maioria dos gestores só pensa em cibersegurança depois de um incidente. O problema é que, nesse ponto, o custo médio de resposta a um ransomware no Brasil já ultrapassa R$ 1,4 milhão, segundo levantamento de 2024 da IBM Security — sem contar paralisação operacional, danos à reputação e penalidades da ANPD por eventual violação de dados pessoais.

A decisão de contratar deve ser antecipada. Alguns gatilhos indicam que o momento chegou: sua empresa passou por crescimento acelerado e os controles não acompanharam; você vai iniciar conformidade com ISO 27001, SOC 2 ou LGPD; seu setor está sob regulação específica (Bacen, ANVISA, SUSEP); ocorreu um incidente anterior ou auditoria externa apontou vulnerabilidades; ou simplesmente o conselho passou a exigir relatório de postura de segurança.

Terceirizar cibersegurança não é sinal de fraqueza tecnológica — é decisão estratégica. Empresas especializadas têm inteligência de ameaças atualizada, ferramentas de ponta e times multidisciplinares que uma equipe interna raramente consegue replicar com o mesmo custo-benefício.

Tipos de serviço × quando contratar: tabela de decisão rápida

Antes de pedir proposta, entenda qual serviço resolve o seu problema. A confusão entre modalidades é a principal causa de contratos mal dimensionados — e de gestores insatisfeitos seis meses depois.

| Serviço | O que entrega | Quando contratar | |---|---|---| | Pentest (teste de invasão) | Relatório técnico + executivo de vulnerabilidades exploráveis em sistemas, redes ou aplicações | Antes de lançar produto, após mudança de infraestrutura, exigência de cliente/auditoria ou anualmente | | SOC / MDR | Monitoramento contínuo 24×7, detecção e resposta a alertas em tempo real | Quando você processa dados críticos ou precisa de visibilidade permanente sobre ameaças ativas | | Resposta a Incidentes (IR) | Contenção, erradicação e recuperação durante uma crise ativa | Assim que suspeitar de comprometimento — cada hora conta | | Conformidade (ISO 27001, LGPD, SOC 2) | Gap analysis, implementação de controles, preparação para auditoria e certificação | Ao iniciar jornada regulatória ou renovar certificação | | vCISO | Liderança estratégica de segurança sob demanda, sem CLT | Quando falta maturidade de governança, mas não há budget para CISO full-time | | Threat Intelligence | Feed de IoCs, monitoramento de dark web e superfície de ataque | Para empresas maduras que querem antecipar campanhas direcionadas ao setor |

Cada modalidade pode — e em geral deve — ser combinada. Um pentest anual sem monitoramento contínuo cria uma falsa sensação de segurança: você sabe o que era vulnerável no dia do teste, não o que será vulnerável amanhã.

Gestão de Ameaças · Grátis

Solicite um diagnóstico gratuito da Decripte e descubra, em menos de 48 horas, quais são os maiores riscos da sua empresa — sem compromisso.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

O que avaliar em uma empresa de cibersegurança: critérios objetivos

**Certificações da equipe técnica.** Pergunte quem executará o serviço — não quem assina a proposta. Profissionais em pentest devem ter OSCP, OSCE ou CEH. Analistas de SOC, CompTIA Security+ ou CySA+. Líderes de governança, CISSP ou CISM. Gerentes de projetos de conformidade, Lead Implementer ISO/IEC 27001.

**Metodologia documentada.** Empresas sérias seguem frameworks reconhecidos: OWASP Testing Guide para pentest web, PTES para pentest de infraestrutura, NIST SP 800-61 para resposta a incidentes, CIS Controls ou ISO 27002 para conformidade. Se o fornecedor não citar metodologia ou disser que tem 'metodologia proprietária' sem explicar a base, fuja.

**Referências verificáveis no seu setor.** Peça contatos de clientes com perfil similar ao seu — porte, segmento, tipo de dado processado. Uma empresa de saúde não deveria ser a primeira cliente de uma empresa de cibersegurança nesse setor.

**SLA contratual, não comercial.** SLA de resposta a incidente crítico deve estar no contrato de serviço, não só no deck de vendas. Exija: tempo máximo para primeiro contato após alerta (≤ 2 horas), tempo de contenção inicial (≤ 4 horas para severidade crítica) e frequência mínima de comunicação durante crise.

**Confidencialidade e NDA.** Todo engajamento de cibersegurança envolve acesso a informações sensíveis — arquitetura de rede, dados de clientes, vulnerabilidades não corrigidas. Exija NDA bilateral antes de qualquer reunião técnica e verifique se o contrato principal inclui cláusula de sigilo com vigência mínima de 5 anos após o término.

**Relatórios: executivo e técnico.** O relatório executivo deve ser legível por um diretor sem formação técnica e conter risco em linguagem de negócio (impacto financeiro, probabilidade, prioridade de correção). O relatório técnico deve ter evidências reproduzíveis (prints, payloads, logs) para que sua equipe ou outro fornecedor possa validar e remediar. Exija ambos antes de assinar.

Perguntas que todo gestor deve fazer ao fornecedor antes de contratar

A negociação é o melhor momento para avaliar a maturidade real de um fornecedor. Fornecedores sérios respondem sem hesitação. As perguntas abaixo revelam competência, processos e postura ética:

1. **Quem, especificamente, executará o serviço?** Peça currículo ou perfil LinkedIn do consultor principal. Terceirização não declarada é red flag grave em segurança.

2. **Qual metodologia vocês seguem e como ela está documentada?** A resposta deve citar NIST, OWASP, PTES ou ISO — e o fornecedor deve conseguir explicar o que cada etapa entrega.

3. **Como vocês lidam com uma vulnerabilidade crítica encontrada durante o pentest?** A resposta correta é: notificação imediata ao cliente, com orientação de mitigação emergencial, antes do relatório final.

4. **O reteste após correção está incluído no escopo?** Qualquer pentest sério inclui ao menos um ciclo de reteste das vulnerabilidades críticas e altas sem custo adicional.

5. **Como vocês garantem que dados coletados durante o serviço são destruídos ao final?** Deve haver política documentada de retenção e destruição de dados, alinhada à LGPD.

6. **Vocês têm seguro de responsabilidade civil profissional (E&O)?** Empresas maduras têm. A ausência não é eliminatória, mas precisa de contrapartida contratual.

7. **Qual é o processo de escalonamento se um incidente ocorrer fora do horário comercial?** A resposta deve descrever um fluxo real — não 'ligamos para o time'.

Gestão de Ameaças · Grátis

Sem cartão, sem compromisso — entenda o seu risco real antes de investir.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Sinais de alerta: como identificar um fornecedor inadequado

O mercado de cibersegurança no Brasil cresceu acima de 30% ao ano desde 2021, o que atraiu fornecedores despreparados junto com os especializados. Alguns sinais exigem atenção imediata:

**Preço anormalmente baixo.** Um pentest completo de aplicação web custando R$ 500 não financia nem o tempo de um profissional qualificado. Preço baixo demais significa escopo reduzido não declarado, uso de ferramentas automatizadas sem análise humana (varredura de vulnerabilidades vendida como pentest) ou terceirização para profissionais sem qualificação.

**Sem reteste incluído.** Um pentest sem reteste é uma fotografia: mostra o estado em um momento, mas não confirma que as correções funcionaram. Qualquer fornecedor sério inclui pelo menos um ciclo de reteste nas vulnerabilidades críticas.

**Ausência de relatório executivo.** Se a entrega é apenas um relatório técnico em inglês gerado por ferramenta automatizada, o fornecedor não está agregando análise humana — está revendendo output de scanner. Relatório executivo em português, com contexto de negócio, é obrigatório.

**Resistência a NDA antes da reunião técnica.** Um fornecedor que se recusa a assinar NDA antes de você compartilhar detalhes de infraestrutura ou escopo não tem maturidade jurídica adequada para o serviço.

**Promessas de 'segurança total' ou '100% de proteção'.** Cibersegurança não promete invulnerabilidade — promete redução de risco mensurável e capacidade de detecção e resposta. Qualquer fornecedor que garanta proteção absoluta está vendendo ilusão.

**Sem menção à LGPD no contrato.** Se o contrato não trata de como os dados da sua empresa são processados, armazenados e destruídos durante o engajamento, o fornecedor não tem governança de privacidade adequada.

Contrato, LGPD e governança: o que não pode faltar no documento

O contrato de prestação de serviços de cibersegurança tem peculiaridades que contratos genéricos de TI não cobrem. Antes de assinar, certifique-se de que os seguintes pontos estão explicitamente tratados:

**Escopo técnico detalhado.** Endereços IP, domínios, sistemas e tipos de teste autorizados devem estar listados com precisão. Isso protege tanto você (limita o que o fornecedor pode testar) quanto o fornecedor (evita alegação de acesso não autorizado).

**Cláusula de operações autorizadas (Rules of Engagement).** Especialmente em pentests, deve descrever horário permitido para testes invasivos, sistemas fora de escopo e procedimento de emergência se algo sair do controle.

**Tratamento de dados sob a LGPD.** O fornecedor é operador de dados pessoais durante o engajamento. O contrato deve incluir: finalidade do tratamento, prazo de retenção, obrigação de comunicar incidentes envolvendo dados pessoais em até 72 horas e obrigação de eliminação ao final do serviço, conforme Art. 46 e 48 da LGPD.

**SLA contratual com penalidades.** SLA sem penalidade por descumprimento é inócuo. Defina multa proporcional para atrasos na entrega de relatório, na comunicação de vulnerabilidade crítica e no tempo de resposta a incidentes.

**Propriedade intelectual dos relatórios.** Os relatórios, metodologias e evidências coletadas devem ser de propriedade sua — não do fornecedor. Garanta isso explicitamente.

**Cláusula de não aliciamento.** Protege ambas as partes: impede que o fornecedor alicie seus funcionários e que você contrate diretamente os consultores do projeto por um período determinado.

Termos-chave

Pentest (Teste de Invasão)
Simulação controlada e autorizada de um ataque real contra sistemas, aplicações ou infraestrutura de uma organização. O objetivo é identificar e explorar vulnerabilidades antes que agentes maliciosos o façam, produzindo evidências técnicas e recomendações de correção priorizadas por risco.
SOC / MDR (Security Operations Center / Managed Detection and Response)
Centro de operações de segurança que monitora continuamente o ambiente de TI em busca de ameaças ativas. O MDR adiciona capacidade de resposta gerenciada: o time do fornecedor não apenas detecta, mas toma ações de contenção e mitigação em nome do cliente.
vCISO (Chief Information Security Officer Virtual)
Modelo de liderança estratégica de segurança da informação prestada sob demanda, sem vínculo empregatício. O vCISO define política, governança, roadmap e participa de reuniões de diretoria pelo tempo e frequência contratados — geralmente de 4 a 20 horas mensais.
SLA de Segurança (Service Level Agreement)
Acordo formal que define tempos máximos de resposta, critérios de severidade de incidentes e penalidades por descumprimento. Em cibersegurança, os SLAs mais críticos são o de notificação de vulnerabilidade crítica (imediata) e o de resposta a incidente ativo (≤ 2 horas para severidade P1).

Como decidir e contratar bem

  1. Mapeie sua superfície de risco e defina o escopo. Liste os ativos críticos da sua organização: sistemas expostos à internet, dados pessoais processados, integrações com terceiros e regulações aplicáveis. Esse mapeamento define qual serviço você realmente precisa e evita comprar escopo desnecessário ou insuficiente.
  2. Estabeleça critérios de avaliação antes de contatar fornecedores. Defina seus critérios eliminatórios (NDA obrigatório, relatório executivo em português, reteste incluído) e classificatórios (certificações, referências no setor, SLA contratual). Critérios definidos antes do processo evitam que um deck de vendas bem produzido distorça a decisão.
  3. Solicite RFP ou briefing técnico a pelo menos três fornecedores. Envie um documento com escopo técnico, seus critérios e perguntas obrigatórias. Propostas recebidas sem resposta às perguntas técnicas devem ser descartadas — demonstram falta de atenção ou incapacidade de responder.
  4. Verifique referências e valide certificações. Ligue para os contatos de referência fornecidos. Pergunte especificamente sobre cumprimento de prazo, qualidade do relatório, comportamento em situação de crise e se contratariam novamente. Valide certificações técnicas diretamente nos portais dos organismos emissores (Offensive Security, (ISC)², ISACA).
  5. Negocie e revise o contrato com suporte jurídico especializado. Não use modelos de contrato de TI genéricos. Garanta que escopo técnico, Rules of Engagement, SLA com penalidades, tratamento de dados sob LGPD, propriedade dos relatórios e prazo de NDA estejam explicitamente cobertos. Advogado com experiência em direito digital é altamente recomendado nesta etapa.
  6. Execute o serviço com acompanhamento interno designado. Designe um ponto focal interno — idealmente alguém técnico ou o gestor de TI — para acompanhar o projeto. Reuniões de kick-off e status semanais não são formalidade: são o canal para esclarecer dúvidas, ajustar escopo e garantir que o time do fornecedor tem os acessos necessários sem atraso.
  7. Valide as entregas, execute o plano de remediação e agende reteste. Ao receber o relatório, valide se todas as vulnerabilidades têm evidências reproduzíveis e recomendações acionáveis. Priorize correções por criticidade, corrija dentro do prazo contratado e agende o reteste para confirmar a eficácia das correções antes de encerrar o engajamento.

Perguntas frequentes

Quanto custa contratar uma empresa de cibersegurança no Brasil?

O custo varia amplamente conforme o serviço. Um pentest de aplicação web de escopo médio custa entre R$ 8.000 e R$ 35.000. Um SOC/MDR para PME começa em R$ 3.500/mês. Um vCISO sob demanda, entre R$ 5.000 e R$ 20.000/mês dependendo da dedicação. Propostas muito abaixo desses valores quase sempre indicam escopo reduzido ou ausência de análise humana qualificada.

Minha empresa é pequena. Vale a pena contratar cibersegurança?

Sim. PMEs são alvos frequentes exatamente porque têm menos defesas. Ataques de ransomware, phishing corporativo e vazamento de dados afetam empresas de qualquer porte. Fornecedores como a Decripte oferecem planos escaláveis para empresas de 1 a mais de 100.000 colaboradores — o ponto de partida é um diagnóstico gratuito que já entrega valor imediato.

Qual a diferença entre pentest e varredura de vulnerabilidades?

Varredura de vulnerabilidades (vulnerability scan) é automatizada: ferramentas identificam versões desatualizadas, configurações inseguras e CVEs conhecidos. Pentest é realizado por profissionais que exploram manualmente as vulnerabilidades encontradas para demonstrar impacto real — incluindo cadeias de ataque que ferramentas automatizadas não detectam. Os dois são complementares, mas não intercambiáveis.

A empresa de cibersegurança que contratar pode vazar meus dados?

É um risco que precisa ser mitigado contratualmente. Exija NDA robusto, política documentada de retenção e destruição de dados, confirmação de que o fornecedor trata dados como operador sob a LGPD e, idealmente, seguro de responsabilidade civil profissional. Fornecedores maduros têm todos esses elementos prontos para apresentar.

Com que frequência devo contratar um pentest?

A recomendação padrão de mercado é ao menos anualmente para sistemas críticos. Além disso, realize pentests pontuais após mudanças significativas de arquitetura, lançamento de novos produtos digitais, fusões e aquisições ou quando exigido por cliente ou regulação. Setores como financeiro e saúde frequentemente exigem ciclos semestrais.

O que é LGPD e por que impacta o contrato de cibersegurança?

A Lei Geral de Proteção de Dados (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Quando você contrata uma empresa de cibersegurança, ela acessa sistemas que frequentemente contêm dados pessoais de seus clientes e colaboradores — tornando-a operadora desses dados. O contrato deve definir finalidade, prazo de retenção, obrigação de notificação de incidentes e eliminação dos dados ao final do engajamento, sob pena de responsabilidade solidária perante a ANPD.

Referências

Como a Decripte resolve isso

Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.

Solicite um diagnóstico gratuito da Decripte e descubra, em menos de 48 horas, quais são os maiores riscos da sua empresa — sem compromisso.

Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.