Wed, 08 Apr 2026
← VoltarKumar Ravi destaca o acesso excessivamente privilegiado e os controles de fluxo de trabalho fracos como ameaças maiores do que o ransomware devido ao seu acúmulo silencioso. Ele enfatiza a necessidade de supervisão da segurança no nível do conselho, com medição consistente e garantia independente.
Nesta entrevista da Help Net Security, Kumar Ravi, Diretor de Segurança e Resiliência do TMF Group, argumenta que o acesso excessivamente privilegiado e os controles de fluxo de trabalho fracos representam mais perigo do que os ataques de ransomware, precisamente porque se acumulam silenciosamente e passam despercebidos. Ele aborda a tensão entre o privilégio legal e o compartilhamento oportuno de ameaças, o desafio de gerenciar o risco de fornecedores terceirizados e as perguntas que as empresas devem fazer antes de adotar ferramentas nativas de IA. O seu argumento mais amplo: a segurança precisa de estar ao nível do conselho de administração, ser medida de forma consistente e apoiada por garantias independentes. A violação que mantém você acordado à noite nem sempre é o dramático ataque de ransomware.
Na sua experiência, qual é o vetor de ameaça mais subestimado específico para serviços profissionais e por que ele continua sendo esquecido? Dois dos vetores de ameaça mais subestimados são graduais e imperceptíveis. São acessos excessivamente privilegiados, para os quais os usuários têm mais permissões do que o necessário para suas funções, e controles fracos nos fluxos de trabalho diários. Estas levam, lenta e imperceptivelmente, a uma perda de confidencialidade e proteção de dados.
Não há necessidade de uma violação única de dados do tipo “big bang”, mas essas pequenas violações de acesso e privilégios que acontecem todos os dias são ainda mais perigosas. Estes podem ser encontrados no acesso a aplicações, contas de serviços partilhados em sistemas de documentos, etc. Isto tende a ser ignorado porque raramente explode numa crise imediata. Em vez disso, é frequentemente visto como uma violação aparentemente inocente da política interna.
No entanto, estes pequenos erros de supervisão acumulam-se em vários processos, equipas, sistemas e aplicações. Quando agregados, eles podem levar a uma oportunidade de ataque para movimentos laterais para ameaças internas e externas. Isto é particularmente perigoso se a governação não estiver em vigor. Se ninguém for responsável por supervisionar isso, ninguém é realmente o dono.
Assim, colocar a governação de dados no centro e concentrar-se na gestão de identidade e acesso desde a conceção é fundamental para prevenir riscos e estar preparado para os mitigar caso surjam. As proteções de privilégios e confidencialidade criam esta estranha dinâmica em que as empresas relutam em partilhar informações sobre ameaças entre si ou mesmo com os reguladores. Até que ponto essa cultura jurídica trabalha ativamente contra a defesa coletiva? O privilégio legal e a confidencialidade são essenciais, mas o desafio é que, sob pressão, as empresas tendem cada vez mais a tratar todos os pontos de dados como privilegiados.
Isto pode ser contraproducente, pois pode abrandar e comprometer a partilha atempada de informações. Este é um desafio importante, uma vez que os reguladores e os pares exigem informações rápidas, específicas e acionáveis. As empresas precisam encontrar um equilíbrio entre proteções de privilégio e confidencialidade e uma estratégia para compartilhar informações sobre ameaças. Se for bem feito, isto pode ajudar a melhorar a resiliência global do ecossistema sem comprometer a nossa cultura jurídica.
As pequenas e médias empresas terceirizam enormes quantidades de trabalho confidencial, desde a revisão de documentos até a modelagem financeira e a infraestrutura em nuvem. Como uma empresa deveria pensar sobre o risco de terceiros quando os fornecedores de seus fornecedores também têm acesso aos dados dos clientes? Os fornecedores não devem mais ser vistos como terceiros externos. Devem tornar-se parte da cadeia de abastecimento integrada de uma empresa, com os deveres, responsabilidades e confiança que isso exige.
A nível prático, a responsabilidade da empresa é compreender a cadeia de abastecimento de ponta a ponta e o papel que cada fornecedor desempenha nela. Isto significa, por exemplo, manter um inventário ativo de todos os parceiros que lidam com dados confidenciais, classificando-os e até exigindo que os fornecedores divulguem os seus subprocessadores. Ao assinar um contrato, as empresas precisam de definir obrigações de segurança, prazos de notificação de incidentes e o direito de saber quem acede aos seus dados e em que termos. Além disso, a devida diligência precisa ir além de um questionário único e ser avaliada periodicamente.
Você precisa ter certeza de definir padrões mínimos e que seus fornecedores os apliquem. Você pode terceirizar o trabalho, mas não pode terceirizar a responsabilidade de proteger seus dados e os de seus clientes. Portanto, você precisa fazer tudo ao seu alcance para impor seus padrões. A tecnologia jurídica e a fintech explodiram com ferramentas nativas de IA que prometem ganhos de eficiência.
Que perguntas um sócio-gerente deve fazer antes de assinar um contrato com qualquer um desses fornecedores e quais respostas devem ser um obstáculo? A integração de ferramentas nativas de IA deve ser vista como uma forma de dar aos novos contratados acesso às informações mais confidenciais da empresa. Isso precisa ser feito fornecendo diretrizes específicas e sem fazer suposições. É necessário fazer perguntas específicas: O que é que a ferramenta abrange, onde se baseia e quais as leis das jurisdições que lhe são aplicáveis?
As informações são utilizadas para treinar modelos que beneficiam outros clientes ou são mantidas estritamente no ambiente daquela empresa? Quais são as regras de retenção, quais são os processos para solicitar exclusões e quais registros de auditoria estão em vigor? Além disso, são necessárias avaliações independentes para rastreá-los. Podem ser relatórios de auditoria, certificações, resumos de pentest, registros de incidentes… Ao contratar, as empresas também precisam ser muito específicas quanto à responsabilização.
Eles precisam ser claros sobre o que se comprometem em relação aos controles de segurança, aos prazos de notificação de violação e à responsabilidade caso uma falha resulte em danos financeiros, regulatórios ou de reputação. Se você pudesse mudar algo estrutural sobre como as empresas de serviços profissionais são construídas, governadas ou regulamentadas para torná-las mais seguras, o que seria e quem resistiria mais? Se eu pudesse fazer uma mudança estrutural, seria tratar a segurança como um controlo empresarial essencial, detido ao nível do conselho de administração, medido de forma consistente e evidenciado através de garantia independente. O objetivo é trabalhar no sentido de uma resiliência previsível.
Isto significa ter menos pontos de falha, uma contenção mais rápida quando algo corre mal e mais transparência. Download: Atualização de benchmarks CIS de março de 2026