As empresas brasileiras estão preparadas para corrigir uma falha crítica em apenas 72 horas?

Views: 29
0 0
Read Time:2 Minute, 51 Second

No começo do mês de junho, a Reuters noticiou que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) reduziu de 15 para 3 dias o prazo para que órgãos federais corrijam vulnerabilidades críticas expostas à internet. A decisão reflete uma preocupação crescente das autoridades americanas com o uso de inteligência artificial para acelerar a descoberta e a exploração de falhas de segurança. 

A informação em si já é relevante, mas o que realmente chama atenção é a razão por trás dela. Os ataques ganharam velocidade. Muita!

Modelos de inteligência artificial estão sendo usados para automatizar a detecção de falhas, a análise de códigos e para acelerar tentativas de exploração. O tempo que havia entre a publicação de uma vulnerabilidade e o primeiro ataque já não é confortável. Em certas situações, isso se tornou uma questão de horas.

Isso levanta uma questão incômoda para qualquer líder de tecnologia: se uma empresa brasileira enfrentasse uma falha crítica e tivesse apenas 72 horas para resolvê-la, conseguiria?

Para se ter a resposta, basta olhar para a realidade das operações de TI no Brasil. Ambientes híbridos convivem com sistemas legados. As equipes precisam sincronizar fornecedores, áreas de negócio e operações que não podem ser interrompidas para uma atualização emergencial. Muitas vezes, a vulnerabilidade é identificada rapidamente. A correção, nem tanto.

Existe um dado que ajuda a colocar essa discussão em perspectiva. Um levantamento realizado com empresas brasileiras mostrou que apenas 40% contam com um programa estruturado de gestão de vulnerabilidades. 

Não significa que as organizações estejam ignorando o problema. Significa que boa parte delas ainda enfrenta dificuldades para transformar a visibilidade em velocidade de resposta.

O mercado investiu pesado em ferramentas de monitoramento nos últimos anos. Descobrir a falha já não costuma ser o maior obstáculo. O desafio está em agir antes que alguém do outro lado faça isso primeiro.

O Wall Street Journal publicou um artigo recente sobre essa transformação. À medida que a IA avança, a indústria começa a perceber que identificar falhas não é mais a parte mais complicada do trabalho. O real desafio é corrigi-las antes que alguém as explore como uma fragilidade para realizar um ataque. E o atacante não espera a próxima janela de manutenção.

A decisão da CISA funciona como um sinal do que está acontecendo no mercado. Não porque o Brasil vá adotar a mesma exigência regulatória no curto prazo, mas porque a lógica por trás dela vale para qualquer organização. Quanto mais tempo uma vulnerabilidade permanece exposta, maior a oportunidade para exploração. 

Isso também muda a forma como a gestão de vulnerabilidades é encarada dentro das companhias. Por anos, o assunto ficou restrito às equipes técnicas. Hoje, uma falha crítica aberta por vários dias pode gerar interrupções operacionais, exposição de dados sensíveis, sanções regulatórias e desgaste de reputação. O impacto chega rapidamente à mesa dos executivos.

Claro que nenhuma organização conseguirá corrigir tudo imediatamente. Essa nunca foi a expectativa. As empresas mais preparadas são aquelas que sabem quais vulnerabilidades exigem resposta imediata, quais ativos merecem proteção adicional e quais processos precisam acelerar quando surge uma ameaça relevante.

No fundo, a provocação feita pela agência americana tem menos relação com um prazo de 72 horas e mais com uma mudança de mentalidade.

Quando os ataques acontecem na velocidade das máquinas, responder no ritmo dos processos tradicionais deixa de ser uma opção.

*José Ricardo Maia Moraes é CTO da Neotel.

POSTS RELACIONADOS