O tal do básico bem feito….e um 2025 de “será”...

Recentemente, participei de uma conversa interessante com o diretor de uma empresa que, como muitas outras, está enfrentando os desafios da transformação digital. A preocupação dele era clara: “Estamos mesmo protegidos? Ou estamos apenas achando que estamos?”.

Ele começou a conversa com confiança. Disse que a empresa tinha um antivírus atualizado, um firewall configurado e que havia migrado quase todos os dados para a nuvem. "Fazemos o básico bem feito", ele comentou. Eu concordei que esses passos eram importantes, mas perguntei: “Esses dados estão devidamente protegidos ou podem estar vulneráveis a ataques?” Ele ficou pensativo. "Bom, usamos um sistema confiável, mas nunca verificamos se a criptografia está ativa ou se temos backups frequentes", respondeu. Aqui já identificamos a primeira brecha: estar na nuvem não significa estar seguro por padrão.

Seguimos falando sobre acessos internos. Perguntei: “Vocês revisam regularmente as permissões de acesso dos colaboradores?” Ele admitiu que não. Havia ex-funcionários que ainda tinham acesso a sistemas sensíveis. "Isso nunca foi prioridade", ele disse, preocupado. Uma brecha que pode parecer pequena, mas abre um caminho perigoso para ameaças internas ou até externas.

“E a equipe? Eles sabem reconhecer tentativas de phishing?” Ele soltou uma risada nervosa. "Acho que não... e-mails falsos estão cada vez mais bem feitos". Expliquei que um simples clique em um link malicioso pode abrir a porta para invasores, e que treinamento regular é essencial para transformar o maior ponto fraco — o fator humano — em uma defesa confiável.

Quando mencionei ransomware, ele ficou ainda mais tenso. “Quais protocolos vocês têm para proteger a rede contra ataques desse tipo?”, perguntei. Ele parou. "Se acontecer, acho que... não sabemos o que fazer." Aqui ficou claro que não ter backups atualizados e um plano de resposta pode ser catastrófico.

Em seguida, trouxe um ponto que sempre deixa as empresas desconfortáveis: “Quando foi a última vez que vocês fizeram um pentest?” "Pentest?" ele repetiu, confuso. Expliquei que são testes de invasão realizados por especialistas para descobrir falhas antes que os hackers o façam. Ele anotou o termo. "Isso faz sentido. Nunca fizemos isso."

Enquanto continuávamos, surgiram outras reflexões importantes: “A autenticação multifatorial já está implementada?” — não estava. “Vocês têm um plano claro para lidar com vazamentos de dados?” — eles não tinham. “E os dispositivos móveis da equipe? Estão protegidos?” — "Não sei", foi a resposta.

No final da conversa, ele respirou fundo e disse: "Eu achava que estávamos protegidos, mas estou vendo que temos muito o que fazer."

Eu sorri e respondi: "E sabe o que é bom? É que você já deu o primeiro passo. Só de reconhecer essas brechas, você já está mais preparado do que muitas empresas por aí. Agora, o próximo passo é pegar essas reflexões e transformar em ações concretas. E isso a gente pode construir juntos.

E você, já se perguntou como sua empresa está se preparando para os desafios que estão por vir?