O Unicórnio da Segurança

Eu lembro até hoje da primeira vez que me sentei na frente de um painel bonito, colorido, cheio de botões fáceis de clicar, mas ninguém explicava o que vinha depois. Era um firewall Next Generation, de uma marca conhecida, um desses que promete segurança de última geração em poucos cliques. Eu tinha vindo de outra escola: roteadores Cisco na linha de comando, FreeBSD, configuração na unha, debug na unha, rede sendo rede de verdade. Quando vi aquele painel web me dando um monte de opções mastigadas, confesso: num primeiro segundo eu pensei “Poxa, agora ficou fácil, vai poupar meu tempo”.

É esse tipo de pensamento que muita gente tem até hoje. Só que, naquele dia, no meio de um treinamento que eu fui fazer numa das maiores distribuidoras do país — treinamento sério, pago e caro, para implementar aquilo num cliente grande — eu levei um tapa de realidade que carrego até hoje.

Estava lá, todo mundo animado com a tela, os botões, o assistente de configuração. Mas quando eu comecei a perguntar — “Está, mas se essa regra falhar, onde eu vejo? Como eu analiso o tráfego? Como eu faço um sniff aqui dentro? Como eu valido se essa porta está realmente filtrando?” — o silêncio na sala foi constrangedor. A maioria ali nunca tinha parado para pensar nisso.

O pessoal estava feliz em clicar em “Próximo”, “Aplicar”, “Salvar”. E era isso. Ninguém questionava o que estava por trás. Ninguém queria entender se aquele “Próximo” escondia um risco gigante. Aquele painel tinha sido desenhado para qualquer um configurar. E é aí que mora o problema: quando qualquer um faz, qualquer coisa passa. E quando qualquer coisa passa, quem paga a conta é a empresa, é o cliente, é o dono do dado, é o negócio parado lá na frente.

Foi ali que caiu minha ficha: a facilidade que a tecnologia promete muitas vezes rouba da gente o que mais importa — a profundidade. A capacidade de pensar além do clique. De enxergar o que não está escrito no manual bonito. Porque segurança não se faz com botão bonito — segurança se faz com cabeça, com pergunta certa, com entendimento do detalhe que ninguém vê. E esse detalhe, na maioria das vezes, não tá no painel — tá atrás dele, no código, na configuração que ninguém abre, no protocolo que ninguém estuda. E se ninguém quiser aprender, o painel vira uma cortina de fumaça: parece seguro, mas é só aparência.

De lá para cá, o que eu mais vi foi gente confundindo papel. O técnico que acha que é analista é, na prática, um dos maiores riscos escondidos dentro de qualquer empresa hoje. É aquele cara que aprendeu a seguir passo a passo, a copiar configuração de um lado e colar do outro, que decora tutorial do YouTube, mas que não para pensar no porquê de cada linha, de cada opção. O problema não é ser técnico — o problema é acreditar que, por apertar botão e ver a tela funcionar, virou analista de segurança. Não virou.

O técnico resolve problema imediato, faz rodar, reinicia servidor, apaga log, faz gambiarra para entregar o que pediram na pressa. Já o analista olha o todo, enxerga a causa, mapeia risco, pensa o que pode dar errado, pergunta se aquilo ali está certo mesmo ou se está só maquiado. O técnico costuma ser aplaudido porque entrega rápido. O analista às vezes é malvisto porque faz pergunta difícil, atrasa a pressa, mostra o buraco que ninguém quer ver.

E aí o que acontece? Vence a pressa. Vence o clique fácil. Vence a cultura do improviso. Até o dia em que a bomba estoura — e quem paga a conta é a operação, o financeiro, o cliente, o nome da empresa que vai para o jornal como “vítima de falha de segurança”. E lá dentro, na sala de crise, alguém olha pra equipe e pergunta: “Quem fez isso?” — e descobre que o técnico virou analista da noite para o dia, sem nunca ter aprendido a ser.

E se alguém acha que isso é exagero, eu conto um caso tão simples que até dói de lembrar — e tenho certeza de que muita gente aqui já ouviu ou viveu algo parecido. Uma grande empresa de logística foi vítima de ransomware, aqueles que entram, criptografam tudo, travam o sistema inteiro e colocam a operação de joelhos em questão de minutos.

Quando o pior aconteceu, a primeira reação foi a mais óbvia: “Chama o cara do backup, vamos restaurar tudo.” E lá foi o técnico, cheio de boa vontade — mas só de boa vontade. Pegou o HD externo, onde supostamente estava salvo o último backup de tudo que era crítico, plugou direto na máquina infectada, que ainda estava contaminada, ativa, espalhando o vírus que ninguém ali entendia direito como bloquear. Resultado? O HD foi criptografado também, na hora.

Ou seja: o que era a última linha de defesa virou mais um arquivo perdido, e a empresa, que acreditava ter backup, ficou sem nada. Quem olha de fora pensa: “Mas isso é básico, é o bê-á-bá de segurança!” Pois é. Mas quando você confunde técnico com analista, o básico vira tragédia. O técnico agiu como sempre agiu: plugou, seguiu o que sabia, não parou pra pensar no risco, não fez pergunta nenhuma. O analista, se existisse ali, teria feito antes uma varredura, isolado o ambiente, montado outro ponto de restauração seguro, testado a integridade do backup antes de abrir qualquer arquivo. É nesse detalhe — que não tá em painel bonito nenhum — que mora a diferença entre ter segurança e só acreditar que tem.

Agora vou puxar outro caso que eu gosto de contar porque mostra bem como gastar milhões em tecnologia de ponta não garante nada se quem opera não sabe o que tá fazendo. Foi uma grande empresa, estrutura robusta, milhares de colaboradores, um projeto de migração de firewall que custava caro — tecnologia de primeira linha, dessas que aparecem em relatório bonito de consultoria internacional, que estão no tal do quadrante mágico.

Contrataram uma equipe externa para planejar e executar tudo. Tudo muito bonito no papel. Mas quando chegou a hora de migrar de fato, a realidade apareceu: o profissional que veio era um “analista” que, na prática, se comportava como técnico. Abriu o painel novo, pegou as regras do firewall antigo, fez CTRL-C e CTRL-V, colou tudo de uma vez, sem entender se aquela estrutura velha fazia sentido no ambiente novo.

No dia da virada, nada funcionou. Servidores fora, sistemas caindo, equipe de TI desesperada tentando entender o que estava bloqueado, o que estava liberado, por que as coisas não batiam. Passaram uma noite inteira virados tentando consertar, até que desistiram e voltaram atrás, fizeram rollback. Remarcaram a migração, nova tentativa — e o mesmo desastre. Tudo de novo. Só quando fomos chamados pra ajudar é que ficou claro: ninguém tinha pensado no básico — revisar regra por regra, entender o ambiente, montar cenário paralelo, fazer teste controlado, garantir que não ia bloquear o que não podia. Faltou o quê?

Faltou análise. Faltou cabeça. O resultado? Mais dias de caos, dinheiro jogado fora, reputação arranhada. E o mais curioso: depois de tudo rodar certo, porque a gente reorganizou o projeto e botou um analista de verdade pra fazer, o ambiente caiu na mão de quem para manter? De um técnico. Meses depois, o firewall de última geração já era só uma peneira bonita: regra aberta demais, permissão sem controle, ninguém auditava nada. Ou seja, parecia seguro — mas era só aparência de novo.

E aí entra uma história que eu conto há anos aqui na Forgetech e que ainda faz muito sentido, mesmo depois de tanta tecnologia nova surgindo. Quando comecei a contratar gente pra equipe, eu percebia logo quem tinha potencial pra virar analista de verdade e quem ia ficar estacionado como técnico. E o meu teste era simples: dava um problema real pra resolver e deixava a pessoa pesquisar. Quem parava na primeira página do Google, naqueles sites óbvios, com resposta superficial e propaganda empurrada no meio, eu já sabia — é técnico, vai fazer CTRL-C CTRL-V, vai se contentar com o que está na cara. Agora, o profissional da segunda página do Google — esse eu faço questão de ter perto.

É o cara ou a moça que não se satisfaz com a resposta pronta. É quem cava, pesquisa mais fundo, testa variações, cruza informação, junta peça que não tá no tutorial. Esse é o perfil que eu sei que pode crescer, que tem fome de entender o porquê, não só o como. E o mais curioso é que isso nunca foi questão de diploma, de certificado, de ter trabalhado em multinacional bonita. É comportamento. É curiosidade. É coragem de admitir que não sabe tudo e ir atrás até entender. E hoje, com IA, isso ficou ainda mais nítido — porque a superficialidade, que antes parava na primeira página do Google, agora parou na primeira resposta que o ChatGPT entrega. E tem muito profissional que nem percebe. A tecnologia mudou. O jeito de ser raso continua o mesmo.

Hoje esse teste evoluiu, mas a essência é a mesma. Antigamente eu olhava quem insistia na segunda página do Google, hoje eu observo quem sabe ou não usar o ChatGPT — e vou dizer uma coisa: é exatamente o mesmo sintoma. O profissional superficial se senta na frente da IA, faz qualquer pergunta mal feita, pega a primeira resposta, copia, cola, entrega — e acha que resolveu. Aí, quando o negócio dá errado, não entende por quê. Vejo isso o tempo todo: gente batendo cabeça duas, três, oito horas, rodando em círculo porque nem sabe formular a pergunta certa.

E não sabe por quê? Porque não entendeu o problema real. Porque não tem base, não sabe de onde vem o erro, não sabe analisar causa, só olha sintoma. E aí a IA vira desculpa para continuar raso. Só que a IA não pensa no lugar de ninguém — ela devolve aquilo que você pergunta. E pergunta errada gera resposta inútil. Quantas vezes eu mesmo já me sentei, peguei um caso travado, parei uma hora pra entender o problema de verdade, redesenhei, formulei uma pergunta clara e objetiva — em cinco minutos a IA me entregou o caminho. A diferença não é o ChatGPT — é quem tá do outro lado do teclado. E a pergunta que fica é: você é o profissional que copia prompt pronto ou é o que pensa o cenário antes de pedir ajuda? É aí que o técnico se revela técnico — e o analista se destaca como analista de verdade.

E aí vem o ponto que pouca gente gosta de ouvir, mas todo mundo precisa: a culpa não é só do profissional que parou na superfície. É da universidade que hoje empurra curso de tecnologia com conteúdo genérico, que passa batido por disciplina fundamental como sistemas operacionais, estrutura de dados, estrutura de redes abordando seriamente protocolos, ciclo de vida de software — tudo o que forma a base para entender o que acontece por trás do botão. E se a universidade não ensina, quem vai ensinar? É culpa também das empresas que querem resultado imediato, que trocam profundidade por urgência, que preferem pagar mais barato para colocar um técnico apertando botão bonito do que investir em treinar alguém para pensar de verdade.

E é culpa do cliente final também — que muitas vezes não sabe, não cobra, não quer pagar o preço de uma segurança feita direito, mas na hora que o problema explode, grita por milagre. O resultado é essa indústria de painel colorido: parece robusta, mas é fachada. Por trás, falta regra, falta análise, falta gente pensando. E enquanto todo mundo nesse ecossistema continuar empurrando isso para a frente, a gente vai seguir dependendo do tal Unicórnio — aquele profissional raro, que faz tudo, sabe tudo, resolve tudo sozinho — mas que ninguém forma, ninguém sustenta, ninguém remunera como deveria. E a verdade é uma só: Unicórnio não existe. O que existe é investimento em gente — ou a conta chega, cedo ou tarde.

No fim das contas é simples — mas ninguém quer encarar. Segurança de verdade não vem só de painel bonito, de ferramenta de quadrante mágico, de botão “Próximo” que qualquer um clica sem entender. Segurança nasce na cabeça, na cultura, no treino, na coragem de pensar antes de executar. Enquanto a gente não entender isso, vamos continuar terceirizando a culpa, achando que em algum momento vai surgir aquele profissional perfeito — pronto, barato, multifunção, que faz tudo no estalar de dedos — o tal do Unicórnio.

E sabe o mais irônico? De vez em quando até aparece um ou outro — mas se esse cara existe, ele não vai ficar num lugar que não leva segurança a sério. E se ficar, vai ser engolido pela cultura rasa, pelo improviso, pelo jeitinho. Resultado: a empresa acredita que está protegida porque tem o “melhor” ali dentro — mas na prática está sozinha, porque o processo ao redor dele é frágil.

Então fica aqui o convite para você parar e pensar de verdade.

1. Você, que trabalha com segurança, está atuando como técnico ou como analista?

2. Você foi formado para pensar como técnico ou como analista? Você se treina todo dia para aprofundar ou para seguir manual?

3. E a empresa onde você trabalha — ela quer que você seja técnico ou analista? Melhor: ela te dá estrutura, tempo, espaço, liberdade para ser analista de verdade — ou te empurra para ser só o executor do botão “Próximo”?