The Shift

Guardião Cibernético: por dentro do maior ensaio de defesa do país

A cada novo ataque contra a segurança digital de hospitais, órgãos públicos, bancos e concessionárias de serviços essenciais, uma dúvida assombra agências governamentais, boards corporativos, pesquisadores e CISOs: o Brasil está preparado para o dia em que um ataque cibernético coordenado for lançado contra sua espinha dorsal? Do dia 21 ao 25 de setembro, a resiliência cibernética do país será colocada à prova — em larga escala, de forma coordenada e sob a batuta do Exército Brasileiro. É o Exercício Guardião Cibernético 2026 (EGC 2026), o maior treinamento de defesa cibernética do hemisfério sul.

Organizado pelo Comando de Defesa Cibernética (ComDCiber), o Guardião Cibernético reunirá em sua oitava edição cerca de 240 organizações — número que reflete a rápida escalada de importância do exercício desde que ele foi criado, em 2018. No ano passado, foram 169 participantes; em 2026, o salto para 240 confirma um movimento que o General de Divisão Jacy Barbosa Junior, Comandante Cibernético do país, define como estratégico: elevar o tema da cibersegurança à pauta permanente dos tomadores de decisão brasileiros. Participam do exercício as três Forças Armadas, órgãos governamentais, agências reguladoras, instituições de ensino e operadores de setores estratégicos como energia, água, telecomunicações e finanças.

A edição deste ano marca uma inflexão no formato do exercício, que agora passa a operar em uma rede de hubs regionais. A sede fica em Brasília, mas o Guardião ganha estruturas simultâneas em Manaus, Belém, Recife, Rio de Janeiro, São Paulo e Curitiba. Em Recife, o hub será operado pelo CESAR, através do CISSA, Centro de Competência Embrapii em Segurança Cibernética que a instituição opera — o único credenciado pela Embrapii no país. A capilaridade não é apenas logística: ela permite ao Comando trazer para dentro do exercício infraestruturas regionais, serviços essenciais e a cadeia de suprimentos das infraestruturas críticas, um conjunto de atores que raramente teria condições de deslocar equipes por uma semana para Brasília.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

“Estar entre os anfitriões participantes do Guardião Cibernético é o reconhecimento de um trabalho que o CESAR vem construindo e um marco para o CISSA. Coloca Recife no centro de um dos maiores exercícios de defesa cibernética do mundo e reforça o papel do CISSA nesse campo.” (Georgia Barbosa, gerente executiva do CISSA)

O exercício em si vai muito além da parte técnica. É verdade que há um simulador que replica ambientes de TI e sistemas industriais — nuclear, hidrelétrica, telecomunicações, energia — onde equipes ofensivas do ComDCiber aplicam técnicas reais de ataque contra estruturas montadas para cada setor, com debriefings diários para que as equipes participantes aprendam com cada sucesso e cada falha.

Mas o coração do exercício está em uma segunda camada: representantes do jurídico, da comunicação estratégica e da diretoria executiva das empresas são chamados a discutir, em tempo real, as decisões que teriam de tomar diante de um ataque como aquele. Pagar o resgate ou parar a produção? Chamar a polícia ou seguir na resposta interna? Comunicar clientes agora ou depois? Não há respostas únicas — e é justamente essa maturidade decisória, e não apenas a técnica, que o Guardião se propõe a desenvolver.

Em entrevista à The Shift, o General de Divisão Jacy Barbosa Junior, Comandante Cibernético do país, explica a lógica por trás do exercício, o papel dos hubs regionais, o impacto da inteligência artificial e da computação quântica na agenda de defesa, o modelo colaborativo entre Forças Armadas, academia e indústria — e o que, no fim das contas, tira o sono de quem comanda a defesa cibernética de uma nação. A conversa completa está abaixo.


O Comando de Defesa Cibernética existe desde 2008. Como o Guardião Cibernético se insere nessa estratégia mais ampla — e por que ele foi criado?

“A defesa tem um Comando de Defesa Cibernética preparado para isso. A estratégia do Comando, desde 2008, foi mitigar o impacto de um ataque cibernético nas infraestruturas críticas do país e apoiar o desenvolvimento da cibersegurança nessas áreas. Isso já vem se desdobrando há mais de uma década, e a nossa grande preocupação é como melhorar a resiliência dessas infraestruturas — como fazer com que essa discussão aconteça. Porque, quando você tem um ataque a uma infraestrutura crítica, ele deixa de ser um problema de TI. Ele escala e pode se tornar um problema de segurança nacional.

Ao longo do tempo, se pensou bastante em como conduzir essa articulação, e o exercício foi uma resposta para a gente participar ativamente dessa discussão. O Guardião começou em 2018, estamos na oitava edição — só não houve edição durante a pandemia. E vem crescendo a cada ano, com mais pessoas e mais instituições participando. Hoje, o exercício apresenta problemas para serem discutidos não só na parte técnica: chamamos o jurídico da empresa, alguém da comunicação estratégica, alguém do board da parte executiva, para discutir mais do que o ataque em si — como reagir a ele. E essa resposta não é única. Para algumas empresas, quando acontece um problema, é preciso decidir se para ou não a produção. Para outras, o que está em jogo é chamar a polícia. Cada setor tem uma resposta diferente.

Mas o grande fator comum é o medo. A vantagem de trazer esse problema para a discussão é elevar a maturidade das instituições em como conduzir um processo desses. O risco existe. A questão é como reagimos. A gente pode se antecipar com procedimentos em muitas coisas, mas também precisa se preparar para quando acontecer: retomar o processo, reagir, colocar as coisas funcionando de novo. Quanto mais discutimos, quanto mais montamos processos, quanto mais pensamos em soluções e temos respostas prontas, mais rápida e mais efetiva se torna a reação. Esse é o objetivo do exercício.”

Como funciona a parte técnica dessa simulação? É uma espécie de pen-test em larga escala?

“É mais do que isso. Essa parte técnica é apenas uma das camadas do exercício. Nós temos um simulador onde montamos uma rede que tem tanto a parte de TI quanto a parte de sistemas industriais. Então, carregamos cada setor: montamos ambientes distintos para uma usina nuclear, uma hidrelétrica, o setor de energia como um todo, o setor de comunicações — cada um com as tecnologias específicas que aquele segmento usa. Os participantes ficam responsáveis por proteger essa infraestrutura, e nós temos pessoal nosso realizando os ataques a essas estruturas usando as técnicas que existem lá fora. Não são técnicas hipotéticas. São problemas que a gente vê acontecendo todo dia, no cotidiano de quem trabalha com isso.

Ao final de cada dia, apresentamos aos participantes o que aconteceu: onde a missão de ataque foi bem-sucedida, onde ela falhou, e mostramos exatamente como aconteceu — para que eles aprendam a se defender. Isso é uma parte do exercício. E ele está conectado a uma parte do trabalho que, para muitas empresas e instituições, é talvez até mais valiosa: a discussão estratégica sobre como reagiriam. É aí que a maturidade da empresa em lidar com um incidente aumenta.”

O senhor fala muito da camada estratégica: jurídico, comunicação e board discutindo na mesma sala. Como funciona essa dinâmica — e por que ela é tão central para o exercício?

“Nós apresentamos o problema para a empresa e colocamos o pessoal do jurídico, da comunicação estratégica e da operação juntos para discutir como agiriam se aquele ataque tivesse acontecido de verdade. Se você tivesse que pagar o resgate de um ransomware, você pagaria ou não? Você vai parar a produção? Você tem mercado para isso ou não tem? Você tem um problema de polícia — precisa chamar a polícia. Essa é a discussão. E ela é, muitas vezes, mais produtiva do que a parte técnica em si — porque é aí que a empresa começa a entender o impacto que um ataque pode ter.

A parte mais interessante é como o exercício evolui ao longo dos dias. Nos primeiros dias, as empresas ficam sentadas cada uma na sua mesa, com o seu setor, discutindo internamente. No segundo e no terceiro dia, quando os problemas começam a aparecer em maior intensidade, e como muitas vezes eles são problemas que interligam setores diferentes, empresas concorrentes acabam sentando juntas — todo o pessoal de marketing, todo o pessoal de operações — para discutir a resposta.

Talvez essa seja a grande razão pela qual as Forças Armadas conduzem esse exercício. A gente usa a nossa credibilidade para que eles tenham certeza. A gente não tem interesse em disputa comercial. O que a gente quer é que todos eles cresçam.”

A edição de 2026 amplia significativamente o modelo de hubs regionais, com o CESAR sediando o hub Recife. Qual é o papel desses hubs no exercício todo?

“Muitas vezes, para uma empresa tirar sua equipe uma semana e levar para Brasília, é complicado. Estamos tentando chegar mais próximo dos participantes, porque temos infraestruturas críticas em todas as regiões do Brasil. E estamos indo além das próprias infraestruturas críticas: estamos trazendo serviços essenciais e, cada vez mais, a cadeia de suprimentos que dá segurança para a operação dessas infraestruturas. Num mundo cada vez mais conectado, muitas vezes o ponto mais frágil de uma infraestrutura crítica é o seu fornecedor — o servidor, o provedor. Trazer essas pessoas para a conversa é fundamental.

Quando conseguimos colocar o exercício dentro das próprias regiões, facilitamos a participação de muito mais gente. O grande objetivo é conseguir incluir infraestruturas que muitas vezes não são nacionais, mas regionais — empresas com atuação regionalizada que não veem sentido em deslocar equipes para Brasília. E o CESAR acabou sendo um parceiro de longa data das Forças Armadas — a gente também é parceiro dele há um tempo. Quando apresentamos essa demanda de fazer o exercício também regionalmente, ele foi um dos primeiros que apareceu, e acabou sendo uma escolha natural por trabalhar muito na área e por ter um papel grande também na educação nessa área. Foi um bom ganha-ganha nesse processo como um todo.”

Desde 2008, quando o Comando foi criado, muita coisa mudou. Agora temos IA e computação quântica no radar. Como a agenda do Comando Cibernético mudou nesses anos?

“Eu costumo falar que, na cibersegurança, a gente pode morrer de qualquer coisa — de susto, de medo. De tédio, nunca. Cada dia é uma coisa nova, um problema novo. Isso obriga a gente a se reinventar todo dia. E a única forma de fazer isso é o que chamamos de missão orientada por propósito: entender o que precisa ser feito, porque a forma vai mudar todo dia. As tecnologias vão surgindo e vão mudando a maneira de trabalhar. O objetivo final continua o mesmo, mas o caminho muda constantemente.

Talvez a melhor analogia que eu conheço para o desafio da proteção seja esta: quem protege uma estrutura precisa se considerar um muro. Quem vai invadir precisa apenas de um buraco. É assimétrico. Sempre foi. A cada dia, você precisa identificar os novos buracos que vão aparecendo e ir lá fechar. Aparece uma ferramenta nova, aparece uma ameaça nova, e você tem que trabalhar com ela. O que a gente precisa é que as pessoas entendam os riscos de cada ameaça e façam sua avaliação de risco. Quando investir em gente, quando investir em tecnologia, quando investir em estrutura — cada organização precisa fazer suas escolhas. Eficiência e segurança são muitas vezes competitivas entre si; cada setor tem que definir qual é o tamanho do risco que ele pode correr. Não o risco que ele quer correr, mas o que ele pode correr.

A IA pode ser uma ameaça, sim. Mas também é uma grande ferramenta de melhoria de segurança. A gente precisa mudar a chave. A parte de computação quântica é uma revolução — vai mudar tudo. Todas essas tecnologias são revoluções. Muita gente olha para a IA e diz: é um problema. Não é um problema, é uma imensa oportunidade — depende de como a gente a utiliza. O pessoal compara com a revolução industrial, e se você olhar na prática é mais ou menos isso. Você colocou uma máquina a vapor, e o que antes precisava de 55 minutos para uma pessoa fazer, uma máquina conseguia fazer. Aumentou exponencialmente a produtividade e mudou o mundo. A IA está no mesmo caminho. Você precisa estudar bem, sim, porque ela gera problemas, gera ameaças, mas também gera imensas oportunidades — inclusive para a segurança.”

Como o Comando articula essa evolução com pesquisa, academia e indústria? A cibersegurança deixou de ser um problema apenas corporativo — virou questão de Estado?

“A pesquisa é o motor da evolução. A nossa grande preocupação é que a pesquisa esteja focada nos problemas corretos. A gente tem um viés natural, dentro das Forças Armadas, de fazer pesquisa interna — mas o foco tem que estar naquilo que impacta a segurança nacional, que impacta a soberania. Os institutos de pesquisa têm várias outras linhas que não necessariamente estão alinhadas a esse recorte. Por isso a gente tem investido em trazer essa discussão para dentro, associando-se com institutos e centros de pesquisa.

O Comando de Defesa Cibernética é um comando conjunto — tem Exército, Marinha e Aeronáutica lá dentro. Mas ele está estruturado sob o Departamento de Ciência e Tecnologia do Exército, que tem um sistema de defesa, academia e indústria justamente para essa articulação. A ideia é trazer academia e indústria para dentro dessa conversa — não de vez em quando, diariamente —, para transformar pesquisa em produto e fazer esse ciclo ser vocacionado para segurança e para a segurança do país. Estamos há alguns anos trabalhando nisso e ainda temos muito a evoluir.”

General, o que tira o seu sono quando pensa em cibersegurança?

“Olha, eu talvez termine o comando com o cabelo mais branco do que quando cheguei. Não sei se vai acontecer, mas a preocupação é constante. Não é um fato específico que me tira o sono, é o contexto. As ameaças são constantes, e a gente faz todos os dias uma análise de risco: o quanto isso pode impactar a segurança e a defesa do Brasil? Existem ameaças muito grandes que, muitas vezes, ficam fora do nosso radar imediato.

Mas o que realmente me preocupa é a evolução do nosso país como uma nação cada vez mais conectada. Isso gera um benefício imenso — e uma superfície de ataque igualmente imensa para a maioria das pessoas. Por isso o Guardião Cibernético é tão importante: ele é uma forma de aumentar a resiliência e, principalmente, de aumentar a discussão sobre o assunto. Talvez o maior legado que um exercício como esse possa deixar seja fazer com que a cibersegurança esteja na pauta dos principais tomadores de decisão, e também no dia a dia das pessoas — porque os dados das pessoas estão por aí, e muitas vezes o problema não é de segurança nacional, mas impacta a vida delas diretamente. Levar essa discussão para a mídia, para os canais, para a rotina — essa é uma contribuição grande. E é isso que me preocupa: que a gente consiga fazer isso.”

Comparando o Brasil com o resto da América Latina, em que posição estamos em termos de resiliência e preparação cibernética?

“Se olharmos para o nosso entorno, o Brasil é o país mais conectado. E, como consequência direta, também é o país mais receptor de ataques da região — ataques de todo tipo. Hoje, na parte de defesa, o Comando de Defesa Cibernética é muito respeitado. Acredito que a interatividade que a gente conseguiu construir com os setores nacionais é diferente da que existe em outros lugares. A conversa que a gente tem com as infraestruturas críticas e com os serviços essenciais é algo que se destaca — é um ótimo lugar para que outros países venham conhecer também.

A credibilidade que as Forças Armadas têm para trazer esse assunto à pauta é benéfica. Temos que usar isso cada vez mais para melhorar a situação do país. Porque, no cibernético, não existem fronteiras. O ambiente cibernético não tem fronteiras. A gente precisa fazer com que a discussão percorra todos os locais — porque as redes não são do Brasil, as redes são das empresas, das organizações, e cada uma tem o dono dos seus próprios ativos. O que a gente precisa é que todos entendam e consigam montar um ambiente mais seguro. E aí entram educação, regulação, infraestrutura, conscientização — tudo isso concorre para um ambiente mais seguro. E, no final da conta, se tivermos um ambiente mais seguro, o acesso de cada cidadão também será mais seguro.”