Roubo no Louvre: a maior ameaça à sua empresa não é o hacker, mas a negligência em TI
O recente roubo milionário no Museu do Louvre, em Paris, não foi obra de um gênio do crime digital, mas o resultado de uma sequência de erros básicos que parecem roteiro de comédia. A senha do sistema de vigilância era “Louvre”. O principal servidor rodava uma versão do Windows extinta há dez anos. E os ladrões? Foram classificados como “amadores”.
Para empresas que investem milhões em tecnologia de ponta, a notícia é um alerta brutal: a maior vulnerabilidade não mora em ataques complexos, mas na cultura de negligência que permite que o básico da segurança da informação seja ignorado.
Enquanto conselhos de administração discutem ameaças de inteligência artificial, o Louvre caiu por falhas primárias. “Algumas empresas se preparam para enfrentar exércitos de hackers, quando a porta da frente está aberta para qualquer um“, adverte Michel Novelo, head de TI da Logithink. “O fato de os ladrões serem amadores prova que não é preciso ser um especialista para causar um dano milionário. Basta encontrar uma organização que trata a gestão de riscos de TI como uma formalidade.”
O incidente expõe uma mentalidade perigosa e ainda comum: a de que segurança é “problema de TI”. No Louvre, auditores apontavam os mesmos riscos há uma década, mas os relatórios foram ignorados. Os sistemas envelheceram, os contratos de manutenção expiraram e o risco se acumulou.
“A segurança é uma construção horizontal, que envolve todos. Delegar essa tarefa à equipe de TI sem treinar colaboradores e implantar uma cultura de segurança é o maior erro que uma corporação pode cometer. O caso do Louvre é a prova disso”, comenta Fernando Brolo, CSMO e sócio fundador da Logithink.
Dívida técnica e o custo da inércia: por que ignorar atualizações é um risco ativo
Um dos sistemas de segurança do museu rodava em um Windows Server 2003, falha que ilustra um erro fatal na gestão de tecnologia: acreditar que sistemas são eternos. Eles não são. Softwares e hardwares têm um ciclo de vida, e ignorar suas datas de validade é o que cria a chamada “dívida técnica”.
“A cultura do ‘se está funcionando, não mexa’ é uma bomba-relógio”, afirma Novelo. “A liderança precisa entender que a decisão de não atualizar um sistema é uma decisão de assumir um risco financeiro e reputacional.”
Essa mentalidade se estende aos fornecedores. “Sua segurança termina onde a do seu fornecedor mais fraco começa. Não gerenciar a cadeia de suprimentos é como trancar a porta da frente e deixar a janela dos fundos com um parceiro que você mal conhece”, completa Brolo.
Segurança da informação: mais que um departamento, uma cultura
No final, senhas fracas e sistemas antigos são sintomas de uma doença maior: a falta de uma cultura de segurança. E, mesmo na ausência de um time dedicado, a inércia não pode ser uma desculpa.
“Uma consultoria de TI especializada, como a Logithink, pode assumir a gestão de segurança, monitorando o ambiente, gerenciando atualizações e trazendo a expertise que falta internamente. É uma forma inteligente de mitigar vulnerabilidades digitais e acessar conhecimento de ponta sem uma estrutura interna complexa”, avalia Brolo.
Uma cultura de segurança forte nasce quando a liderança para de ver esse pilar como um custo e passa a tratá-lo como um valor. Ela se manifesta quando um funcionário hesita antes de clicar em um link, quando um gerente exige autenticação multifator e quando um diretor questiona por que um risco crítico, apontado em uma auditoria, ainda não foi resolvido.
“A segurança começa quando o CEO pergunta sobre os riscos do negócio e termina quando o estagiário escolhe uma senha forte. Se a liderança não trata a segurança como um valor, ninguém mais o fará”, reforça Novelo.
O Louvre aprendeu da maneira mais difícil. A pergunta que fica é: quais são as “joias da coroa” do seu negócio e quem está cuidando delas? O incidente não foi sobre tecnologia; foi sobre pessoas e processos. “A pergunta que todo líder deve se fazer não é ‘temos o melhor firewall?’, mas sim ‘construímos uma cultura onde a negligência é inaceitável e contamos com o parceiro de TI certo para garantir isso?'”, conclui Brolo.
