• Início
  • Artigos
  • Newsletter
  • Conteúdos
    • Materiais Ricos
    • Nosso canal no Youtube
  • Início
  • Artigos
  • Newsletter
  • Conteúdos
    • Materiais Ricos
    • Nosso canal no Youtube
Pesquisar
Globe Linkedin Instagram Facebook
  • Leitura ordenada
Ameaças cibernéticas

Resoluções nº 740 e nº 767 reforçam obrigações de segurança cibernética no segmento de telecom

Entenda as obrigações da R-Ciber para mitigar as ameaças cibernéticas.
  • 25 de dezembro
  • 2025
  • 11 min

O setor de telecomunicações ocupa uma posição central na economia digital. Redes móveis, infraestrutura de banda larga, data centers, estações rádio base, cabos em postes e subterrâneos sustentam desde serviços essenciais até ecossistemas financeiros, industriais e governamentais. Neste contexto, o aumento das ameaças cibernéticas se tornou um risco operacional e estratégico. 

Nesse cenário, a Anatel resolveu fortalecer o arcabouço regulatório por meio do R-Ciber (Resolução nº 740), editada em 2020, posteriormente ampliada pela Resolução nº 767, de 2024. 

Essa atualização expandiu o escopo de empresas reguladas e aumentou significativamente o nível de exigência em relação à segurança cibernética, governança e gestão de riscos. 

Ao reforçar as obrigações, a norma responde diretamente à escalada de incidentes e ameaças cibernéticas e à crescente criticidade das infraestruturas de telecom no Brasil. 

Este artigo analisa, em profundidade, o que muda com as resoluções, quais são os impactos práticos para operadoras e provedores e como gestores podem reduzir risco cibernético de forma estruturada. 

O avanço das ameaças cibernéticas no setor de telecom 

Nos últimos anos, a modernização da infraestrutura de rede, a expansão da conectividade e o avanço do 5G trouxeram uma insegurança digital e exigiram um aumento na proteção de instalações, equipamentos, sistemas e informações.  

Isso porque as empresas de telecom concentram infraestruturas críticas, operam grandes volumes de dados, sustentam serviços essenciais e conectam milhares de fornecedores, parceiros e clientes finais. 

Inclusive, o segmento de telecomunicações passou a figurar entre os principais alvos de ataques cibernéticos. Um relatório da Netscout indica a ocorrência de mais de 550 mil ofensivas no 1º semestre de 2025 no Brasil, com telecomunicações móveis, provedores de hospedagem e infraestrutura de dados como setores mais visados. 

Em Singapura, as 4 principais operadoras de telecom do país sofreram um ataque cibernético massivo em junho de 2025. No caso, um grupo inseriu um agente malicioso, que conseguiu ultrapassar os sistemas de defesa, obteve acesso limitado a sistemas e removeu uma pequena quantidade de dados técnicos. No entanto, não interrompeu os serviços. 

Esse exemplo mostra as vulnerabilidades nas operações de telecomunicações, envolvendo não só grandes como pequenas empresas, e os riscos para as empresas do segmento. 

Principais tipos de ameaças cibernéticas em telecom 

Diante do cenário preocupante de aumento de ataques e riscos cibernéticos, o segmento de telecom enfrenta principalmente: 

  • Malwares;
  • Ransomwares;
  • Phishing;
  • Ataques de negação de serviço (DDoS); 
  • Exploração de vulnerabilidades em equipamentos; 
  • Comprometimento de redes de acesso; 
  • Ataques à cadeia de suprimentos (supply chain); 
  • Invasões a sistemas OSS/BSS; 
  • Uso de equipamentos sequestrados em botnets.

Esse contexto evidencia que segurança cibernética não é mais opcional. Trata-se de um pilar de continuidade operacional, conformidade regulatória e proteção da confiança do usuário. 

O que é a Resolução nº 740/2020 e qual seu objetivo? 

A Resolução nº 740 da Anatel instituiu o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber).  

Seu objetivo foi de estabelecer princípios, deveres e procedimentos mínimos para que as prestadoras de serviços de telecomunicações: 

  • Promovam a segurança de suas redes e serviços; 
  • Reduzam vulnerabilidades técnicas e organizacionais; 
  • Protejam infraestruturas críticas; 
  • Mitiguem impactos de incidentes cibernéticos; 
  • Atuem de forma coordenada em situações de risco.

Diferentemente de normas genéricas, o R-Ciber foi concebido especificamente para as características técnicas, operacionais e econômicas do setor de telecom. 

E qual o impacto da Resolução nº 767/2024? 

A atualização trouxe avanços importantes com ampliação do escopo regulatório, já que mais empresas passaram a ser monitoradas, incluindo operadoras de cabos submarinos, prestadoras de Serviço Móvel Pessoal (SMP) com rede própria e operadoras de rede de atacado. 

Por que cresceu a importância das regulamentações? 

As resoluções passaram a ganhar aplicação mais rigorosa pela Anatel e reforçaram a obrigatoriedade de requisitos técnicos independentemente do porte da empresa.  

Inclusive, desde novembro de 2025, a Anatel passou a exigir comprovação de auditorias em fornecedores de equipamentos e evidências formais de execução das políticas de segurança. 

Essas normas refletem uma leitura clara do cenário atual. As ameaças cibernéticas em telecom deixaram de ser riscos locais ou isoladas e passaram a ser sistêmicos, com alto impacto econômico e social. Dessa forma, é fundamental que todos envolvidos no ecossistema tomem medidas efetivas para ajudar na mitigação de riscos. 

Principais obrigações trazidas pelo R-Ciber 

1. Instituição de uma Política de Segurança Cibernética formal e auditável

O R-Ciber determina que todas as prestadoras mantenham uma Política de Segurança Cibernética compatível com a criticidade de suas redes e serviços. Essa política deixa de ser um documento meramente técnico e passa a cumprir papel de instrumento de governança. 

Na prática, essa política deve: 

  • Estabelecer diretrizes claras de proteção, incluindo prevenção, detecção, resposta e recuperação; 
  • Definir papéis e responsabilidades, envolvendo áreas técnicas, executivas e de compliance; 
  • Estar alinhada à estratégia de negócio e ao apetite a risco da organização; 
  • Ser periodicamente revisada, considerando novas ameaças cibernéticas e mudanças tecnológicas.

Também é necessária a publicação do extrato dessa política em canal público, como por exemplo, no site da empresa. E, anualmente ou sempre que solicitado, deve-se apresentar à Anatel um relatório sobre o acompanhamento de execução da política.

Para muitas operadoras, isso exige uma mudança cultural, já que a segurança deixa de ser uma função isolada de TI e passa a integrar decisões estratégicas, investimentos e planejamento operacional. 

Leia também: Análise forense digital: 9 razões para sua empresa contratar 

2. Gestão estruturada de riscos cibernéticos

O regulamento pressupõe que as prestadoras adotem uma abordagem sistemática de gestão de risco cibernético, baseada na identificação e priorização de ativos críticos, envolvendo: 

  • Mapeamento detalhado de redes, sistemas, equipamentos e serviços essenciais; 
  • Avaliação de impactos potenciais de incidentes (operacionais, financeiros, regulatórios e reputacionais); 
  • Definição de controles proporcionais ao risco identificado; 
  • Revisão periódica das avaliações à medida que o ambiente muda.

O R-Ciber reforça a ideia de que nem todos os ativos têm o mesmo nível de criticidade, mas todos devem ser conhecidos, classificados e protegidos de forma coerente. 

Ou seja, é importante realizar o monitoramento contínuo das vulnerabilidades com ciclos periódicos de avaliação de riscos e potenciais impactos. 

3. Responsabilidade sobre a cadeia de fornecedores e terceiros

Um dos pontos mais sensíveis do regulamento está na gestão de fornecedores, reconhecendo que grande parte dos incidentes cibernéticos modernos ocorre por meio da cadeia de suprimentos. 

O R-Ciber estabelece que as empresas de telecom: 

  • Devem contratar apenas fornecedores que adotem políticas de segurança compatíveis; 
  • Precisam exigir evidências de controles técnicos e organizacionais; 
  • Devem prever a realização de auditorias independentes; 
  • Continuam responsáveis pelos riscos introduzidos por terceiros.

Isso impacta diretamente contratos com fabricantes de equipamentos de rede, provedores de software e plataformas OSS/BSS, empresas de manutenção e suporte, serviços de cloud e data center, integradores e operadores de infraestrutura compartilhada, terceirizados que atuam em serviços de campo, prestadores de segurança em torres, ERBs e outras instalações. 

Na prática, o regulamento eleva o nível de maturidade exigido no gerenciamento de terceiros aproximando o setor de telecom das melhores práticas globais de cibersegurança. 

4. Proteção de equipamentos fornecidos ao usuário final (CPEs)

O R-Ciber impõe uma obrigação de que os equipamentos fornecidos ao usuário em comodato, como roteadores, não podem operar com configurações padrão inseguras. 

Dessa forma, as prestadoras devem alterar credenciais padrão antes da ativação, restringir serviços e portas desnecessárias, implementar atualizações e correções de segurança e monitorar vulnerabilidades dos dispositivos. 

Essa exigência está relacionada a um dos vetores mais explorados por fraudadores, ou seja, o uso de CPEs vulneráveis para ataques cibernéticos e vazamentos de dados. 

Para operadoras com milhões de dispositivos distribuídos, esse requisito representa um desafio operacional relevante, mas essencial para reduzir riscos sistêmicos.

5. Detecção, tratamento e notificação de incidentes cibernéticos relevantes

O R-Ciber estabelece obrigações específicas relacionadas à gestão de incidentes cibernéticos, especialmente aqueles considerados relevantes. As prestadoras devem: 

  • Manter capacidade de detecção contínua de incidentes; 
  • Classificar eventos conforme seu impacto potencial; 
  • Adotar medidas rápidas de contenção e mitigação; 
  • Notificar a Anatel, usuários afetados e outras prestadoras quando aplicável, como a ANPD, ampliando a responsabilidade regulatória.

Esse modelo busca reduzir o tempo de exposição, evitar propagação de ataques entre redes interconectadas e permitir respostas coordenadas a ameaças de grande escala. 

Na prática, isso exige integração entre equipes técnicas, operacionais, jurídicas, de comunicação e de gestão de crises. 

Veja aqui: Segurança empresarial: futuro é integrado

6. Envio de informações sobre infraestruturas críticas

Como parte das exigências do R-Ciber, as prestadoras de serviços de telecomunicações devem garantir maior transparência e visibilidade sobre seus ativos mais sensíveis. 

De acordo com o regulamento, é obrigatória a submissão de informações detalhadas sobre as infraestruturas críticas de telecomunicações, incluindo: 

  • Dados sobre a arquitetura e operação da rede; 
  • Mapeamento geográfico das estruturas físicas;  
  • Identificação de rotas e interconexões críticas.

Essa exigência permite à Anatel ampliar sua capacidade de supervisão e resposta a incidentes, especialmente em situações que possam comprometer a continuidade dos serviços ou a segurança nacional. 

Leia também: Segurança em ERBs: protegendo a infraestrutura crítica de telecomunicações 

7. Cooperação setorial e atuação coordenada 

A criação do Grupo Técnico de Segurança Cibernética fortalece a visão de que a cibersegurança no setor de telecom depende de cooperação contínua.  

Esse comitê tem como função acompanhar a evolução das ameaças cibernéticas, disseminar boas práticas, propor aprimoramentos regulatórios e apoiar a proteção de infraestruturas críticas. 

Para as empresas, significa um novo nível de interação com o órgão regulador e com outros players do mercado.

8. Documentação, evidências e capacidade de comprovação

O R-Ciber não determina modelos rígidos de certificação, mas prevê que as empresas se mantenham em conformidade. Por isso, o regulamento propõe políticas formalizadas e aprovadas, registros de auditorias e avaliações de risco, evidências de controles técnicos implementados e relatórios de incidentes e ações corretivas. 

A ausência de documentação adequada pode ser interpretada, na prática, como ausência de controle, o que aumenta o risco regulatório. 

Quais os principais passos para adequação ao Regulamento de Segurança Cibernética?

1. Mapear ativos críticos e entender o impacto regulatório

O ponto de partida é a identificação dos ativos que sustentam serviços essenciais. Redes de acesso, sistemas OSS/BSS, plataformas de interconexão e centros de dados precisam ser classificados conforme seu impacto potencial sobre continuidade do serviço, segurança do usuário e cumprimento de obrigações legais e regulatórias. 

Esse mapeamento permite que a empresa concentre esforços onde o risco é maior, evitando abordagens genéricas que consomem recursos sem reduzir efetivamente a exposição às ameaças cibernéticas.

2. Estruturar uma política de segurança cibernética alinhada à governança

O próximo passo é formalizar uma Política de Segurança Cibernética que reflita o contexto real da organização e esteja conectada à estratégia corporativa. 

Este documento deve definir responsabilidades claras entre áreas técnicas, executivas e de compliance, estabelecer princípios para prevenção, detecção, resposta e recuperação, e prever revisões periódicas, considerando a evolução do risco cibernético.

3. Implementar uma abordagem estruturada de gestão de risco cibernético

A resolução pressupõe que as decisões de segurança cibernética sejam baseadas em risco. Desse modo, as empresas precisam adotar processos formais para: 

  • Identificar vulnerabilidades técnicas e organizacionais; 
  • Avaliar probabilidade e impacto de incidentes; 
  • Priorizar controles de acordo com criticidade; 
  • Acompanhar a eficácia das medidas adotadas.

4. Fortalecer o controle sobre fornecedores e a cadeia de suprimentos

A adequação exige uma revisão profunda na forma de avaliação e monitoramento dos fornecedores. A empresa deve garantir que terceiros não introduzam riscos incompatíveis com o nível de criticidade das operações, incluindo cláusulas contratuais específicas, avaliações periódicas de conformidade e visibilidade contínua sobre riscos de terceiros.

5. Revisar configurações e controles de equipamentos 

Outro passo crítico envolve a segurança de equipamentos operacionais, incluindo aqueles fornecidos ao usuário final. 

Neste ponto, as empresas precisam desabilitar serviços e portas desnecessárias, garantir que dispositivos não operem com credenciais padrão e aplicar atualizações de segurança de modo controlado. 

Esse cuidado reduz significativamente a superfície de ataque e contribui para a proteção do ecossistema como um todo. 

6. Estruturar processos maduros de gestão de incidentes cibernéticos

Os incidentes e ameaças cibernéticas devem ser tratados de forma organizada, rastreável e transparente. Assim, é possível reduzir o tempo de exposição, limitar impactos e demonstrar diligência regulatória. Para atingir este objetivo, é preciso contar com: 

  • Capacidade contínua de detecção e monitoramento; 
  • Critérios claros para classificação de incidentes relevantes; 
  • Planos de resposta e contenção previamente definidos; 
  • Fluxos de comunicação internos e externos, incluindo notificação à Anatel quando aplicável.

7. Produzir evidências e garantir capacidade de comprovação

Por fim, a adequação ao R-Ciber depende da capacidade de demonstrar conformidade, o que inclui relatórios de risco, políticas aprovadas, registros de auditorias, evidências técnicas e históricos de incidentes. 

Como a GIF International apoia empresas de telecom nesse cenário 

Diante de um ambiente regulatório mais rigoroso e de ameaças cada vez mais sofisticadas, a GIF International atua como parceira estratégica visando fortalecer a postura de segurança e adequação ao R-Ciber, apoiando as empresas de telecom com: 

  • Diagnóstico de aderência ao R-Ciber; 
  • Revisão ou estruturação da Política de Segurança Cibernética; 
  • Avaliação de controles, fornecedores e requisitos regulatórios; 
  • Preparação para reporte, evidências e resposta a incidentes.

Nosso ecossistema de soluções de combate a fraudes inclui: 

  • Análises forenses e resposta a incidentes cibernéticos (DFIR); 
  • Pentest com avaliação de risco cibernético em infraestruturas críticas; 
  • Monitoramento de ameaças reais de fraudes e ataques com a solução de threat intelligence; 
  • Due Diligence de fornecedores e parceiros; 
  • Desvio de conduta para apurar comportamentos inadequados de colaboradores e fraudes internas; 
  • Inspeção técnica para supervisionar instalações e estruturas, a fim de prevenir de roubos, furtos e fraudes físicas;
  • Centro de Operações Integradas para monitorar instalações, pessoas e equipamentos em tempo real e emitir alertas em caso de riscos; 
  • Pronta resposta para atuar de forma imediata em alarmes e alertas de ocorrências; 
  • Inteligência antifraude para investigar casos que ocorreram, identificando os responsáveis, modus operandi e vulnerabilidades exploradas; 
  • Entre outros.

Quer saber mais informações? Entre em contato com nossos especialistas agora mesmo! 

FAQ: dúvidas frequentes sobre ameaças cibernéticas 

O que são ameaças cibernéticas? 

São ações maliciosas que buscam comprometer sistemas, dados ou operações. 

Quais são os principais tipos de ameaças cibernéticas? 

Malware, ransomware, phishing, ataques DDoS, ameaças internas e ataques à cadeia de suprimentos. 

Por que telecom é mais vulnerável? 

Devido à sua criticidade, volume de dados, interconectividade e dependência de terceiros. 

Como reduzir riscos cibernéticos? 

Com política de segurança, gestão de acessos, monitoramento contínuo, controle de fornecedores e resposta a incidentes. 

O que exige o R-Ciber? 

Governança contínua de segurança, monitoramento de riscos, controle de fornecedores e notificação de incidentes.

Print Friendly, PDF & Email
Cibersegurança
Gestão de Riscos
Institucional
Investigação de Fraudes
Prevenção de Fraudes
  • Foto de Gabriel Duque Gabriel Duque
  • Jornalista e especialista em marketing de conteúdo e SEO
  • Assinar Newsletter
  • Confira também
Investigação de fraudes

Conheça a história da GIF International e nossas soluções de investigação e inteligência antifraude

  • Gabriel Duque
  • 3 de setembro
  • 2024
  • 13 min
apagão cibernético

Veja os impactos e consequências do apagão cibernético para a segurança digital das empresas

  • Gabriel Duque
  • 5 de setembro
  • 2024
  • 8 min
reputação da empresa

Reputação da empresa: como evitar riscos para seu negócio com soluções antifraude

  • Gabriel Duque
  • 10 de setembro
  • 2024
  • 11 min
investigação corporativa

Investigação corporativa: veja como o serviço de combate a fraudes protege seu negócio

  • Gabriel Duque
  • 12 de setembro
  • 2024
  • 11 min
roubo de cargas no Brasil

Roubo de cargas: principais desafios de segurança e as estratégias para evitar

  • Gabriel Duque
  • 17 de setembro
  • 2024
  • 13 min
  • Destaques
embedded finance

Embedded finance: como empresas estão incorporando operações financeiras

  • Gabriel Duque
  • 7 de maio
  • 2026
  • 6 min
background check

Veja a importância do background check na investigação corporativa

  • Gabriel Duque
  • 5 de maio
  • 2026
  • 6 min
Gestão de identidade e acesso

IAM, MFA e menor privilégio: controle de acesso inteligente para mitigar riscos

  • Gabriel Duque
  • 30 de abril
  • 2026
  • 8 min
gestão de riscos de terceiros

Gestão de riscos de terceiros: o que sua empresa precisa saber para evitar perdas? 

  • Gabriel Duque
  • 28 de abril
  • 2026
  • 9 min
reclamações dos clientes

Confira o ranking das 10 maiores queixas dos consumidores e como isso afeta seu negócio

  • Gabriel Duque
  • 23 de abril
  • 2026
  • 6 min
  • Canal de Ética
  • Política de Privacidade de Dados
  • Política de Segurança da Informação
  • Trabalhe Conosco
  • Canal de Ética
  • Política de Privacidade de Dados
  • Política de Segurança da Informação
  • Trabalhe Conosco
Globe Linkedin Instagram Facebook