Se até o Louvre foi alvo, por que sua empresa acha que está segura?

Quando a imprensa revelou que o sistema do Museu do Louvre, guardião de algumas das obras mais valiosas do mundo, usava “Louvre” como senha, o mundo reagiu com espanto. Mas a verdade é que essa vulnerabilidade não é exceção. Ela é o espelho do que acontece diariamente dentro de milhares de empresas que ainda confundem a posse de ferramentas de segurança, inclusive muitas de ponta, com a prática real de segurança.

O problema, no entanto, não é técnico. É cultural. Muitas empresas ainda partem do princípio de que estão seguras simplesmente porque investiram em soluções de segurança, muitas vezes caras, mas ignoram o fato de que segurança não se compra, se constrói.

É como pagar o plano mais completo da academia e esperar resultados sem nunca tocar nos equipamentos. Sem disciplina, orientação e acompanhamento, o investimento se torna meramente simbólico. O mesmo vale para sistemas de segurança digital: não basta implementar. É preciso governar, auditar, revisar acessos, aplicar políticas de identidade e educar continuamente as pessoas que usam esses sistemas.

A gestão de identidade, esse conjunto de práticas que define quem tem acesso a quê, quando e por quanto tempo, continua sendo o elo mais frágil da cadeia de segurança. Isso acontece porque, em muitas organizações, a responsabilidade pela administração de credenciais e perfis de acesso é delegada a equipes sem o treinamento adequado. O que abre brechas que comprometem até as defesas mais sofisticadas do planeta.

A verdade é que grande parte das pessoas usam senhas simples em dezenas de contas, com foco na praticidade. Senhas fortes e exclusivas (e as ferramentas certas para gerenciá-las) ainda são uma das defesas mais poderosas contra roubo de dados e fraude de identidade.

Um gerenciador de senhas e/ou cofre de senhas elimina o trabalha de criar e memorizar senhas complexas, além de mantê-las fortes. Ele gera combinações aleatórias que são quase impossíveis de serem decifradas e, em seguida, as armazena com segurança usando criptografia avançada.

Outro ponto crítico é que empresas em que o core business não é tecnológico (como no caso de um museu, em que a natureza do negócio é conservar, pesquisar e expor o patrimônio da humanidade) tendem a tratar segurança como um item acessório, e não como parte essencial. Essa mentalidade faz com que ferramentas avançadas sejam subutilizadas ou mal configuradas, como a senha “Louvre”: um exemplo de conveniência em detrimento do controle.

A pergunta que o caso levanta é bem simples: de quem é, afinal, a responsabilidade pela segurança? Do provedor de tecnologia ou de quem a contrata? A responsabilidade final é da empresa. É ela quem decide quem administra suas soluções, quem tem privilégios de acesso e qual cultura interna sustenta essas decisões.

No entanto, para que essas escolhas sejam realmente eficazes, contar com um parceiro de negócios experiente faz toda a diferença. Um parceiro que compreende as particularidades de cada ambiente corporativo e é capaz de propor o melhor cenário para cada organização, em vez de aplicar soluções genéricas que ignoram o contexto e a maturidade tecnológica de cada cliente, é essencial para que a segurança digital seja de fato efetiva, sustentável e adaptada à realidade do negócio.

Em um mundo cada vez mais conectado, a identidade é o novo perímetro da segurança. E enquanto as organizações continuarem acreditando que a proteção é um produto, e não um processo, casos como o do Louvre continuarão a acontecer, com consequências muito mais graves do que o roubo de uma obra: a perda de confiança, de reputação e, muitas vezes, de continuidade dos negócios.

*Ronaldo Corá, Diretor de Segurança em Identidade e Acesso da Redbelt Security.