O Inimigo Invisível: Quando a Ameaça à Cibersegurança Vem de Dentro de Casa
Por Altevir Jr.
Se você trabalha com tecnologia, é provável que no dia 18 de novembro tenha sentido o impacto: plataformas globais como Discord, Spotify e serviços essenciais ficaram subitamente indisponíveis. O “sintoma” foi imediato e o pânico nos grupos de CISO e CIOs também. A pergunta que sempre surge primeiro é: “Quem está nos atacando?”. Seria um ataque DDoS massivo patrocinado por um Estado-nação? Um novo ransomware de escala global?
A resposta, confirmada posteriormente pela Cloudflare, foi um balde de água fria para os teóricos da conspiração e um alerta vermelho para nós, gestores: não foi um hacker. Foi um erro interno de configuração e gestão de mudanças.
Em meus mais de 25 anos atuando na linha de frente da segurança da informação, aprendi uma lição dura que o mercado insiste em esquecer: a Disponibilidade é um dos pilares da tríade CIA (Confidencialidade, Integridade e Disponibilidade), e ela é tão vulnerável ao erro humano quanto ao código malicioso.
A Ilusão da Fortaleza Externa
Investimos milhões em firewalls de última geração, sistemas de EDR (Endpoint Detection and Response), SOCs monitorando ameaças 24/7 e inteligência de ameaças para barrar invasores russos ou chineses. No entanto, muitas vezes negligenciamos o básico bem feito: a Gestão de Mudanças (Change Management) e a arquitetura de resiliência.
O incidente da Cloudflare nos lembra que a complexidade das nossas infraestruturas digitais atuais é, por si só, um vetor de risco. Quando centralizamos grande parte do tráfego da internet em poucos provedores de CDN e borda, criamos pontos únicos de falha que, se mal gerenciados operacionalmente, causam danos financeiros e reputacionais idênticos aos de um ciberataque destrutivo. Para o usuário final ou para o CEO da empresa, não importa se o site caiu por causa do grupo LockBit ou porque um engenheiro subiu um script errado: o prejuízo é o mesmo.
Resiliência: A Palavra de Ordem
Minha opinião, forjada em décadas de crises e recuperações, é que precisamos parar de olhar para a Cibersegurança apenas como um “escudo contra hackers” e passar a encará-la como Garantia de Continuidade de Negócios.
Manter a resiliência das estruturas críticas significa:
1. Humildade na Engenharia: Aceitar que falhas vão ocorrer. Se a Cloudflare, que possui alguns dos melhores engenheiros do mundo, falha, a sua empresa também falhará. A questão não é se, mas quando.
2. Processos de Mudança Rigorosos: A automação é fantástica, mas a validação humana e os testes em ambientes de staging (homologação) rigorosos são inegociáveis. “Deploy na sexta-feira” sem revisão não é agilidade, é imprudência.
3. Planos de Recuperação Testados: Ter um Disaster Recovery (DR) no papel é burocracia. Ter um DR testado semestralmente é resiliência. Se o seu provedor principal falhar hoje, sua operação para ou apenas degrada performance?
O episódio de novembro é um lembrete sóbrio. Devemos sim nos preocupar com ransomwares e APTs, mas não podemos deixar a “porta dos fundos” aberta por falta de rigor operacional. A verdadeira segurança cibernética protege a empresa de todos os riscos — inclusive daqueles que nós mesmos criamos.
