Logo-GIF Modal Box Title

  • Início
  • Artigos
  • Newsletter
  • Conteúdos
    • Materiais Ricos
      • Glossário de Combate a Fraudes
      • O impacto das fraudes nas empresas
      • Panorama de Roubo de Cargas
      • Kit Exclusivo: Aliciamento de Colaboradores e Fraudes Internas
Pesquisar
Globe Linkedin Instagram Facebook
  • Início
  • Artigos
  • Newsletter
  • Conteúdos
    • Materiais Ricos
      • Glossário de Combate a Fraudes
      • O impacto das fraudes nas empresas
      • Panorama de Roubo de Cargas
      • Kit Exclusivo: Aliciamento de Colaboradores e Fraudes Internas
  • Início
  • Artigos
  • Newsletter
  • Conteúdos
    • Materiais Ricos
      • Glossário de Combate a Fraudes
      • O impacto das fraudes nas empresas
      • Panorama de Roubo de Cargas
      • Kit Exclusivo: Aliciamento de Colaboradores e Fraudes Internas
Pesquisar
Globe Linkedin Instagram Facebook
  • Leitura ordenada
Ameaças cibernéticas

Resolução nº 740 reforça segurança cibernética no segmento de telecom 

Entenda as obrigações da Resolução nº 740 para mitigar as ameaças cibernéticas.
  • 25 de dezembro
  • 2025
  • 9 min

O setor de telecomunicações ocupa uma posição central na economia digital. Redes móveis, infraestrutura de banda larga, data centers, estações rádio base, cabos em postes e subterrâneos sustentam desde serviços essenciais até ecossistemas financeiros, industriais e governamentais. Neste contexto, o aumento das ameaças cibernéticas se tornou um risco operacional e estratégico. 

Nesse cenário, a Resolução nº 740 da Anatel, editada em 2020, ganha protagonismo. Ao reforçar obrigações e exigir governança estruturada, a norma responde diretamente à escalada de incidentes cibernéticos e à crescente criticidade das infraestruturas de telecom no Brasil. 

Este artigo analisa, em profundidade, o que muda com a Resolução nº 740, quais são os impactos práticos para operadoras e provedores e como gestores podem reduzir risco cibernético de forma estruturada. 

O avanço das ameaças cibernéticas no setor de telecom 

Nos últimos anos, a modernização da infraestrutura de rede e a expansão da capacidade trouxeram uma insegurança digital e exigiram um aumento na proteção de instalações, equipamentos, sistemas e informações. Isso porque as empresas de telecom concentram infraestruturas críticas, operam grandes volumes de dados, sustentam serviços essenciais e conectam milhares de fornecedores, parceiros e clientes finais. 

Inclusive, o segmento de telecomunicações passou a figurar entre os principais alvos de ataques cibernéticos. Um relatório da Netscout, por exemplo, indica a ocorrência de mais de 550 mil ofensivas no 1º semestre de 2025 no Brasil, com telecomunicações móveis, provedores de hospedagem e infraestrutura de dados como setores mais visados. 

Principais tipos de ameaças cibernéticas em telecom 

Diante do cenário preocupante de aumento de ataques e riscos cibernéticos, o segmento de telecom enfrenta principalmente: 

  • Ataques de negação de serviço (DDoS); 
  • Exploração de vulnerabilidades em equipamentos; 
  • Comprometimento de redes de acesso; 
  • Ataques à cadeia de suprimentos (supply chain); 
  • Invasões a sistemas OSS/BSS; 
  • Uso de equipamentos sequestrados em botnets.

Esse contexto evidencia que segurança cibernética não é mais opcional. Trata-se de um pilar de continuidade operacional, conformidade regulatória e proteção da confiança do usuário. 

O que é a Resolução nº 740 e qual seu objetivo? 

A Resolução nº 740 da Anatel institui o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber).  

Seu objetivo é estabelecer princípios, deveres e procedimentos mínimos para que as prestadoras de serviços de telecomunicações: 

  • Promovam a segurança de suas redes e serviços; 
  • Reduzam vulnerabilidades técnicas e organizacionais; 
  • Protejam infraestruturas críticas; 
  • Mitiguem impactos de incidentes cibernéticos; 
  • Atuem de forma coordenada em situações de risco.

Diferentemente de normas genéricas, o R-Ciber foi concebido especificamente para as características técnicas, operacionais e econômicas do setor de telecom. 

Por que a Resolução nº 740 aumentou sua importância? 

Embora publicada anteriormente, a Resolução nº 740 passou a ganhar aplicação mais rigorosa e abrangente a partir de decisões recentes da Anatel.  

Estas orientações reforçaram a aplicação das normas para prestadoras com rede própria e confirmaram a obrigatoriedade de requisitos técnicos independentemente do porte da empresa. 

Essas decisões refletem uma leitura clara do cenário atual. As ameaças cibernéticas em telecom deixaram de ser riscos locais ou isoladas e passaram a ser sistêmicos, com alto impacto econômico e social. 

Principais obrigações trazidas pelo R-Ciber 

1. Instituição de uma Política de Segurança Cibernética formal e auditável

O R-Ciber determina que todas as prestadoras mantenham uma Política de Segurança Cibernética compatível com a criticidade de suas redes e serviços. Essa política deixa de ser um documento meramente técnico e passa a cumprir papel de instrumento de governança. 

Na prática, essa política deve: 

  • Estabelecer diretrizes claras de proteção, incluindo prevenção, detecção, resposta e recuperação; 
  • Definir papéis e responsabilidades, envolvendo áreas técnicas, executivas e de compliance; 
  • Estar alinhada à estratégia de negócio e ao apetite a risco da organização; 
  • Ser periodicamente revisada, considerando novas ameaças cibernéticas e mudanças tecnológicas.

Para muitas operadoras, isso exige uma mudança cultural, já que a segurança deixa de ser uma função isolada de TI e passa a integrar decisões estratégicas, investimentos e planejamento operacional. 

Leia também: Análise forense digital: 9 razões para sua empresa contratar 

2. Gestão estruturada de riscos cibernéticos

O regulamento pressupõe que as prestadoras adotem uma abordagem sistemática de gestão de risco cibernético, baseada na identificação e priorização de ativos críticos, envolvendo: 

  • Mapeamento detalhado de redes, sistemas, equipamentos e serviços essenciais; 
  • Avaliação de impactos potenciais de incidentes (operacionais, financeiros, regulatórios e reputacionais); 
  • Definição de controles proporcionais ao risco identificado; 
  • Revisão periódica das avaliações à medida que o ambiente muda.

O R-Ciber reforça a ideia de que nem todos os ativos têm o mesmo nível de criticidade, mas todos devem ser conhecidos, classificados e protegidos de forma coerente. 

3. Responsabilidade sobre a cadeia de fornecedores e terceiros

Um dos pontos mais sensíveis do regulamento está na gestão de fornecedores, reconhecendo que grande parte dos incidentes cibernéticos modernos ocorre por meio da cadeia de suprimentos. 

O R-Ciber estabelece que as prestadoras: 

  • Devem contratar apenas fornecedores que adotem políticas de segurança compatíveis; 
  • Precisam exigir evidências de controles técnicos e organizacionais; 
  • Devem prever a realização de auditorias independentes; 
  • Continuam responsáveis pelos riscos introduzidos por terceiros.

Isso impacta diretamente contratos com fabricantes de equipamentos de rede, provedores de software e plataformas OSS/BSS, empresas de manutenção e suporte, serviços de cloud e data center, integradores e operadores de infraestrutura compartilhada. 

Na prática, o regulamento eleva o nível de maturidade exigido no gerenciamento de terceiros aproximando o setor de telecom das melhores práticas globais de cibersegurança. 

4. Proteção de equipamentos fornecidos ao usuário final (CPEs)

O R-Ciber impõe uma obrigação de que os equipamentos fornecidos ao usuário em comodato não podem operar com configurações padrão inseguras. 

Dessa forma, as prestadoras devem alterar credenciais padrão antes da ativação, restringir serviços e portas desnecessárias, implementar atualizações e correções de segurança e monitorar vulnerabilidades dos dispositivos. 

Essa exigência está relacionada a um dos vetores mais explorados por fraudadores, ou seja, o uso de CPEs vulneráveis para ataques cibernéticos e vazamentos de dados. 

Para operadoras com milhões de dispositivos distribuídos, esse requisito representa um desafio operacional relevante, mas essencial para reduzir riscos sistêmicos.

5. Detecção, tratamento e notificação de incidentes cibernéticos relevantes

O R-Ciber estabelece obrigações específicas relacionadas à gestão de incidentes cibernéticos, especialmente aqueles considerados relevantes. As prestadoras devem: 

  • Manter capacidade de detecção contínua de incidentes; 
  • Classificar eventos conforme seu impacto potencial; 
  • Adotar medidas rápidas de contenção e mitigação; 
  • Notificar a Anatel, usuários afetados e outras prestadoras quando aplicável.

Esse modelo busca reduzir o tempo de exposição, evitar propagação de ataques entre redes interconectadas e permitir respostas coordenadas a ameaças de grande escala. 

Na prática, isso exige integração entre equipes técnicas, jurídicas, de comunicação e de gestão de crises. 

Veja aqui: Segurança empresarial: futuro é integrado

6. Cooperação setorial e atuação coordenada 

A criação do Grupo Técnico de Segurança Cibernética fortalece a visão de que a cibersegurança no setor de telecom depende de cooperação contínua.  

Esse comitê tem como função acompanhar a evolução das ameaças cibernéticas, disseminar boas práticas, propor aprimoramentos regulatórios e apoiar a proteção de infraestruturas críticas. 

Para as empresas, isso significa um novo nível de interação com o órgão regulador e com outros players do mercado.

7. Documentação, evidências e capacidade de comprovação

O R-Ciber não determina modelos rígidos de certificação, mas prevê que as empresas se mantenham em conformidade. Por isso, o regulamento propõe políticas formalizadas e aprovadas, registros de auditorias e avaliações de risco, evidências de controles técnicos implementados e relatórios de incidentes e ações corretivas. 

A ausência de documentação adequada pode ser interpretada, na prática, como ausência de controle, o que aumenta o risco regulatório. 

Quais os principais passos para adequação ao Regulamento de Segurança Cibernética?

1. Mapear ativos críticos e entender o impacto regulatório

O ponto de partida é a identificação dos ativos que sustentam serviços essenciais. Redes de acesso, sistemas OSS/BSS, plataformas de interconexão e centros de dados precisam ser classificados conforme seu impacto potencial sobre continuidade do serviço, segurança do usuário e cumprimento de obrigações legais e regulatórias. 

Esse mapeamento permite que a empresa concentre esforços onde o risco é maior, evitando abordagens genéricas que consomem recursos sem reduzir efetivamente a exposição às ameaças cibernéticas.

2. Estruturar uma política de segurança cibernética alinhada à governança

O próximo passo é formalizar uma Política de Segurança Cibernética que reflita o contexto real da organização e esteja conectada à estratégia corporativa. 

Este documento deve definir responsabilidades claras entre áreas técnicas, executivas e de compliance, estabelecer princípios para prevenção, detecção, resposta e recuperação, e prever revisões periódicas, considerando a evolução do risco cibernético.

3. Implementar uma abordagem estruturada de gestão de risco cibernético

A resolução pressupõe que as decisões de segurança cibernética sejam baseadas em risco. Desse modo, as empresas precisam adotar processos formais para: 

  • Identificar vulnerabilidades técnicas e organizacionais; 
  • Avaliar probabilidade e impacto de incidentes; 
  • Priorizar controles de acordo com criticidade; 
  • Acompanhar a eficácia das medidas adotadas.

4. Fortalecer o controle sobre fornecedores e a cadeia de suprimentos

A adequação exige uma revisão profunda na forma de avaliação e monitoramento dos fornecedores. A empresa deve garantir que terceiros não introduzam riscos incompatíveis com o nível de criticidade das operações, incluindo cláusulas contratuais específicas, avaliações periódicas de conformidade e visibilidade contínua sobre riscos de terceiros.

5. Revisar configurações e controles de equipamentos 

Outro passo crítico envolve a segurança de equipamentos operacionais, incluindo aqueles fornecidos ao usuário final. 

Neste ponto, as empresas precisam desabilitar serviços e portas desnecessárias, garantir que dispositivos não operem com credenciais padrão e aplicar atualizações de segurança de modo controlado. 

Esse cuidado reduz significativamente a superfície de ataque e contribui para a proteção do ecossistema como um todo. 

Veja também: Estação Rádio Base: como proteger na sua empresa de telecom

6. Estruturar processos maduros de gestão de incidentes cibernéticos

Os incidentes e ameaças cibernéticas devem ser tratados de forma organizada, rastreável e transparente. Assim, é possível reduzir o tempo de exposição, limitar impactos e demonstrar diligência regulatória. Para atingir este objetivo, é preciso contar com: 

  • Capacidade contínua de detecção e monitoramento; 
  • Critérios claros para classificação de incidentes relevantes; 
  • Planos de resposta e contenção previamente definidos; 
  • Fluxos de comunicação internos e externos, incluindo notificação à Anatel quando aplicável.

7. Produzir evidências e garantir capacidade de comprovação

Por fim, a adequação ao R-Ciber depende da capacidade de demonstrar conformidade, o que inclui relatórios de risco, políticas aprovadas, registros de auditorias, evidências técnicas e históricos de incidentes. 

Como a GIF International apoia empresas de telecom nesse cenário 

Diante de um ambiente regulatório mais rigoroso e de ameaças cada vez mais sofisticadas, a GIF International atua como parceira estratégica para empresas de telecom que buscam fortalecer sua postura de segurança. 

A GIF International apoia empresas de telecom com um ecossistema de soluções de combate a fraudes, como: 

  • Análises forenses e resposta a incidentes cibernéticos (DFIR); 
  • Pentest com avaliação de risco cibernético em infraestruturas críticas; 
  • Monitoramento de ameaças reais de fraudes e ataques com a solução de threat intelligence; 
  • Due Diligence de fornecedores e parceiros; 
  • Desvio de conduta para apurar comportamentos inadequados de colaboradores e fraudes internas; 
  • Inspeção técnica para supervisionar instalações e estruturas, a fim de prevenir de roubos, furtos e fraudes físicas;
  • Centro de Operações Integradas para monitorar instalações, pessoas e equipamentos em tempo real e emitir alertas em caso de riscos; 
  • Pronta resposta para atuar de forma imediata em alarmes e alertas de ocorrências; 
  • Inteligência antifraude para investigar casos que ocorreram, identificando os responsáveis, modus operandi e vulnerabilidades exploradas; 
  • Entre outros.

Quer saber mais informações? Entre em contato com nossos especialistas agora mesmo! 

Cibersegurança
Gestão de Riscos
Institucional
Investigação de Fraudes
Prevenção de Fraudes
  • Foto de Gabriel Duque Gabriel Duque
  • Jornalista e especialista em marketing de conteúdo e SEO
  • Assinar Newsletter
  • Confira também
Investigação de fraudes

Conheça a história da GIF International e nossas soluções de investigação e inteligência antifraude

  • Gabriel Duque
  • 3 de setembro
  • 2024
  • 13 min
apagão cibernético

Veja os impactos e consequências do apagão cibernético para a segurança digital das empresas

  • Gabriel Duque
  • 5 de setembro
  • 2024
  • 8 min
reputação da empresa

Reputação da empresa: como evitar riscos para seu negócio com soluções antifraude

  • Gabriel Duque
  • 10 de setembro
  • 2024
  • 11 min
investigação corporativa

Investigação corporativa: veja como o serviço de combate a fraudes protege seu negócio

  • Gabriel Duque
  • 12 de setembro
  • 2024
  • 9 min
roubo de cargas no Brasil

Roubo de cargas: principais desafios de segurança e as estratégias para evitar

  • Gabriel Duque
  • 17 de setembro
  • 2024
  • 9 min
  • Destaques
Ameaças cibernéticas

Resolução nº 740 reforça segurança cibernética no segmento de telecom 

  • Gabriel Duque
  • 25 de dezembro
  • 2025
  • 9 min
pentest

Como melhorar a proteção cibernética da sua empresa com o pentest 

  • Gabriel Duque
  • 23 de dezembro
  • 2025
  • 7 min
roubo de informações

Dados sob ataque: como o roubo de informações transforma fraudes em crises corporativas

  • Gabriel Duque
  • 18 de dezembro
  • 2025
  • 8 min
mitigação de riscos

Mitigação de riscos: como a GIF contribui com CFOs na missão de equilibrar finanças e enfrentar fraudes 

  • Gabriel Duque
  • 16 de dezembro
  • 2025
  • 6 min
golpe da entrega falsa

Golpe da entrega falsa cresce e impacta reputação de empresas 

  • Gabriel Duque
  • 11 de dezembro
  • 2025
  • 6 min
  • Canal de Ética
  • Política de Privacidade de Dados
  • Política de Segurança da Informação
  • Trabalhe Conosco
  • Canal de Ética
  • Política de Privacidade de Dados
  • Política de Segurança da Informação
  • Trabalhe Conosco
Globe Linkedin Instagram Facebook