IWA7
6 min de leituraLucas Barbieri — CEO IWA7

Falta de segurança básica com dados: o mínimo obrigatório para qualquer empresa

Conheça controles essenciais de segurança para reduzir risco de vazamento e proteger reputação.

seguranca-da-informacao dados risco governanca
Featured image for "Falta de segurança básica com dados: o mínimo obrigatório para qualquer empresa"

Na segunda-feira, o ex-funcionário que saiu há três semanas ainda conseguia acessar o sistema de CRM com as credenciais antigas. Ninguém tinha desativado o acesso porque o processo de offboarding não previa isso formalmente. Ele não fez nada malicioso — mas poderia ter feito. Na terça, o fornecedor que presta suporte ao sistema legado compartilha uma senha de banco de dados por e-mail, em texto puro, copiando três pessoas no mesmo thread. Na quinta, o servidor de arquivos com contratos de clientes não exige autenticação dentro da rede corporativa — afinal, “a rede é privada, quem vai entrar?”

Nenhuma dessas situações é incomum. Pelo contrário — são padrões que encontro com frequência em empresas de médio porte que nunca sofreram um incidente de segurança sério e, por isso, nunca sentiram urgência de endereçar o básico. O problema é que “nunca aconteceu” não é argumento técnico. É sorte. E sorte não é estratégia de gestão de risco.

A maioria dos vazamentos de dados e incidentes de segurança em empresas de médio porte não são sofisticados. Não são ataques elaborados de hackers especializados. São falhas elementares de controle que qualquer agente mal-intencionado — ou simplesmente um funcionário descuidado — pode explorar sem nenhum conhecimento técnico avançado. O paradoxo é que esses problemas têm solução conhecida, comprovada e não cara. O que falta não é tecnologia. É prioridade.

Por que segurança básica fica para depois

O primeiro mecanismo é o da invisibilidade do risco. Diferente de uma máquina quebrando ou de uma entrega atrasando, o risco de segurança não aparece até o momento em que vira incidente. A empresa opera normalmente, sem sinal visível de que a exposição existe. Isso cria uma falsa sensação de que está tudo bem — porque nada aconteceu ainda.

O segundo mecanismo é a confusão entre segurança e complexidade. Muitos gestores associam segurança da informação a projetos longos, caros e tecnicamente impenetráveis, e por isso postergam indefinidamente. Na prática, os controles que eliminam a maioria dos riscos mais comuns são simples de entender e relativamente baratos de implementar. Autenticação de múltiplos fatores, política de senhas, gestão de acesso baseada em função, backup com restauração testada e atualização regular de sistemas não exigem infraestrutura sofisticada — exigem disciplina operacional.

O terceiro fator é a ausência de responsabilidade clara. Em empresas onde segurança da informação não é papel definido de ninguém — ou é papel vago de “o time de TI cuida” —, os controles básicos não são implementados de forma consistente porque ninguém tem mandato e cobrança formal para fazê-lo. TI cuida da infraestrutura. RH não pensa em acesso de sistemas no offboarding. O jurídico não mapeia quais dados são sensíveis e onde estão armazenados. O resultado é que todos são responsáveis por uma parte e ninguém é responsável pelo todo.

O que agrava quando o básico não está feito

O custo de um incidente de segurança vai muito além do dano técnico imediato. Quando dados de clientes vazam — e a LGPD é clara sobre isso —, a empresa está sujeita a sanções da ANPD, que podem chegar a dois por cento do faturamento do ano anterior, limitadas a cinquenta milhões de reais por infração. Além da sanção regulatória, há o custo de resposta ao incidente: investigação forense, comunicação aos titulares dos dados, eventual ação judicial de clientes afetados.

Mas o custo que raramente aparece no cálculo é o da reputação. Uma empresa que sofre vazamento de dados de clientes não perde só dinheiro — perde a confiança que levou anos para construir. Em mercados onde o relacionamento é ativo estratégico, esse dano pode ser mais duradouro do que qualquer multa regulatória. Clientes migram, parceiros reconsideram, prospects questionam.

Há também o custo operacional do próprio incidente. Um ataque de ransomware que criptografa servidores pode paralisar a operação por dias ou semanas. O custo do tempo parado — produção interrompida, pedidos não processados, atendimento ao cliente travado — frequentemente supera em muito o valor do resgate exigido. E mesmo pagando o resgate, não há garantia de recuperação integral dos dados.

O que implementar primeiro

O ponto de partida é o controle de acesso. Cada pessoa deve ter acesso apenas ao que precisa para exercer sua função — nem mais, nem menos. Isso exige um mapeamento de quem tem acesso a quê hoje, e uma revisão crítica do que faz sentido. Acesso de ex-funcionários deve ser desativado no dia da saída, sem exceção. Esse controle custa zero em tecnologia e elimina uma das formas mais comuns de acesso não autorizado.

O segundo controle essencial é a autenticação multifator para todos os sistemas que contêm dados sensíveis — e-mail corporativo, CRM, ERP, ambientes de nuvem. Senhas sozinhas não são mais proteção suficiente. A maioria das plataformas modernas oferece autenticação multifator sem custo adicional. O que falta é ativá-la e torná-la obrigatória.

Backup com restauração testada é o terceiro elemento inegociável. Ter backup é o mínimo — o que muitas empresas não sabem é que ter backup não significa que a restauração funciona. Backup não testado é uma ilusão de segurança. O procedimento precisa incluir testes periódicos de restauração real, em ambiente isolado, verificando que os dados recuperados estão íntegros e o sistema voltou operacional.

A atualização regular de sistemas — especialmente correções de segurança — fecha a maioria das vulnerabilidades exploradas por ataques automatizados. Softwares desatualizados têm vulnerabilidades conhecidas, publicadas, com ferramentas de exploração disponíveis na internet. Adiar um patch crítico por meses é manter uma porta aberta com placa indicando onde está.

Por fim, o treinamento de pessoas. A maioria dos incidentes começa com um clique em um e-mail de phishing. O melhor firewall do mundo não protege contra um funcionário que digita sua senha em uma página falsa. Treinar o time para reconhecer tentativas de engenharia social é a única defesa eficaz nesse nível.

Segurança não é projeto, é disciplina contínua

O erro mais caro que uma empresa pode cometer em segurança da informação é tratar o tema como projeto com começo, meio e fim. “Vamos fazer um projeto de segurança esse trimestre” é uma frase que indica que a empresa ainda não entendeu a natureza do problema. Ameaças evoluem. Sistemas mudam. Pessoas entram e saem. O ambiente de risco não é estático — e a proteção também não pode ser.

O que funciona é construir um conjunto mínimo de controles que opera de forma contínua, com responsável definido, revisão periódica e melhoria incremental. Não é necessário ser perfeito para reduzir dramaticamente o risco. É necessário ser consistente. Empresa que executa bem os controles básicos com disciplina elimina a grande maioria dos incidentes mais prováveis. O resto é gestão de risco residual — que toda empresa tem, e que a decisão de quanto investir em mitigação depende do seu apetite ao risco e do que você tem a perder.