Sua maior falha de sergurança não está na TI - Está no contrato. E você finge que não vê

Frequentemente, passamos pela mesma cena aqui na Forgetech. Eu estou ali navegando, trabalhando, quando aparece uma solução nova — um software que promete resolver um gargalo, automatizar um processo, otimizar uma tarefa que poderia mesmo fazer diferença no dia a dia. Às vezes a equipe já se anima, faz o teste, mostra o que a ferramenta faz de bonito. Mas aqui dentro já virou piada interna: “Chegando no Ricardo, vai travar.” Vai travar porque eu não aprovo qualquer coisa que não passe pelo meu crivo de segurança. E não é porque eu quero ser o chato da história — é porque eu sei, por experiência, o tamanho do prejuízo que uma brecha pode abrir quando ninguém se preocupa com a porta dos fundos.

E não é só uma questão de perfil ou de capricho. Eu tenho uma preocupação que é real — porque carrego, na prática, a responsabilidade de manter o nível de confiança que prometo aos meus clientes, aos meus parceiros e à Forgetech como empresa. Eu sei que cada dado que entra aqui tem dono. Eu sei o peso de uma falha. E eu tenho uma certificação ISO 27001 e ISSO 27701 pra responder se algo sair errado. Essa consciência me obriga a perguntar, analisar, travar quando precisa. O que eu vejo na prática, porém, é que essa mesma régua raramente aparece do outro lado. Na maioria das consultorias que eu faço, quando converso com gestores de TI ou diretores que contratam fornecedores críticos, o discurso é quase sempre o mesmo: “Eu quero terceirizar pra não ter trabalho, eu quero alguém que resolva.” E tudo bem querer contratar — é estratégico, faz sentido, ninguém precisa manter tudo dentro de casa. Mas aí mora o erro: terceirizar não é largar. Você terceiriza a operação, mas a responsabilidade é sua. Quando você terceiriza, você vira gestor de contrato. E se não assumir isso, vai pagar a conta do mesmo jeito — com dinheiro, com imagem, com noites mal dormidas.

É por isso que eu não sou contra terceirizar — muito pelo contrário. É inteligente terceirizar infraestrutura, segurança, backup, suporte, porque manter tudo isso internamente custa caro, exige gente especializada, treinamento, atualização constante. Nenhuma empresa, fora as gigantes de tecnologia, tem fôlego para isso. Então terceirizar faz sentido, é estratégico, é uma questão de economicidade e foco no que realmente gera receita. O problema começa quando a terceirização vira desculpa pra omissão. Muita gente chama de “risco oculto”, mas não é oculto coisa nenhuma — é risco omitido. Você sabe que existe, você sabe onde está, mas escolhe não olhar, não perguntar, não fiscalizar. A conta de fechar os olhos sempre chega — e quando chega, quem paga é você.

Falar é fácil, mas eu prefiro mostrar. Por isso, vou abrir aqui cinco histórias que eu mesmo vivi ou conduzi — cada uma escancarando onde esse “risco omitido” se esconde. Quem lê pode até achar que é exagero, mas cada exemplo é real, com CPF, CNPJ e muito prejuízo envolvido.

O primeiro é de uma empresa de ERP que, na época, estava no noticiário por ter recebido um aporte de mais de 500 milhões de reais. Era uma solução promissora, com demonstração bonita, time comercial alinhado. Parecia tudo pronto pra gente contratar. Mas, na hora de fechar, cadê o contrato? Veio um termo genérico, sem cláusulas mínimas de segurança, sem SLA, sem nada. Pedi política de segurança, de privacidade, contato do DPO. Resposta? Vaga. Pedi detalhes de backup, continuidade, localização de dados. Silêncio. E quando finalmente chegaram com “as políticas”, CTRL+C CTRL+V da internet, e as outras informações ainda me disseram que era confidencial e não podiam compartilhar, mas eu podia colocar todos os dados da minha empresa na solução deles. Fui testar mesmo assim a pedido da equipe — o trial já mostrava que os dados estavam fora do país, num datacenter em país sem lei parecida com a LGPD. É lindo receber milhões, mas quando a base é frágil, vira risco para o cliente. E foi aí que o “não” travou a compra — e salvou a gente.

O segundo é de um escritório de advocacia grande, bem estruturado, super aderente à LGPD — no papel. Contrataram backup em nuvem para armazenar os dados sensíveis dos clientes. Tudo certo, até eu bater o olho na URL e ver o domínio do país de origem. Fui puxar a localização mais exata: backup rodando num local barato, fora do país, sem proteção legal compatível. Um escritório que trabalha com dados pessoais de pessoas físicas, B2C, tinha todos os dados sendo copiados para fora — sem nem saber. Quando questionei, a resposta foi pior: “A empresa de backup nem levantou essa bola.” E pior ainda: quando fomos perguntar para a empresa de backup, ninguém sabia explicar onde ficava o servidor. Imagina o risco jurídico se esse dado vaza.

O terceiro é o mais dolorido. Uma empresa de médio porte, operação toda em servidores Windows, VPN aberta pro fornecedor de TI fazer manutenção. Do outro lado, a rede do fornecedor era uma bagunça: Windows pirata, técnico instalando o que queria, nenhum controle de domínio. Foi por ali que entrou o ransomware. Resultado? 48 horas de operação fora do ar. Servidor de arquivos, banco de dados, aplicação, tudo criptografado. Chegaram na encruzilhada: restaurar ou pagar? Faltava backup atualizado, plano de continuidade fraco. Decidiram pagar — e pagaram caro, valor na casa de 7 dígitos. Dinheiro, imagem, confiança — tudo ficou manchado. E o acesso? Abriu onde? No fornecedor.

O quarto é quase folclórico. Uma empresa financeira imprimia tudo — caixas e caixas de documentos. Além disso, backup em fita. Tudo isso ia para uma empresa de guarda física. No papel, o contrato era lindo: controle de acesso, climatização, segurança 24x7. Mas, durante anos, ninguém nunca tinha ido lá. Um dia, um novo gerente, instigado por mim, resolveu visitar. Encontrou câmeras quebradas, armário sem etiqueta, local úmido, pilhas de caixas jogadas, pessoas entrando e saindo sem registro. Resumo: era mais seguro guardar dentro da própria empresa do que pagar para enfiar tudo num depósito bagunçado. Foi ali que decidiram mudar tudo — largaram as fitas e migraram para a nuvem com controle sério.

O quinto é de uma empresa que contratou um software house para desenvolver um sistema que viraria o coração da operação — quase 500 colaboradores dependendo daquilo. Na hora de auditar, ninguém sabia dizer quem era quem, ambiente de desenvolvimento desatualizado, banco de dados mal estruturado, sala superlotada. Pior: quando fomos pedir um teste técnico, descobrimos que o desenvolvedor-chave nem trabalhava lá. O PC era emprestado de outra empresa. O cara não podia nem instalar uma ferramenta básica. Enquanto isso, no comercial: carrão, fachada bonita, promessas de “entregamos tudo”. Quando a entrega é fraca por dentro, a conta chega depois — na marretada.

O que esses cinco casos mostram é simples: o risco não mora só na TI. Mora no contrato mal escrito, no backup barato, na VPN aberta, no depósito esquecido, no código mal gerenciado. Tem nome bonito: terceirização. Mas, na prática, se você não fiscaliza, é só omissão com prazo pra estourar — e quando estoura, se materializa em tudo: problema jurídico, caos operacional, falha física, brecha técnica e prejuízo estratégico. E quem paga essa conta é sempre quem deixou passar.

No fim das contas, é isso que muita gente ainda não entendeu: se você terceirizou, você virou gestor de contrato — querendo ou não. Não é só uma função burocrática. É você quem garante que o que foi prometido está sendo entregue. É você quem protege o negócio. É você quem assume o risco se o fornecedor falhar. Delegar é saudável, faz parte da estratégia. Mas delargar é suicídio. E é exatamente isso que eu vejo todo dia: gente que assina contrato pra riscar da lista, mas não acompanha, não mede, não audita. Não entende que ser gestor de TI hoje é, antes de tudo, ser fiscal de tudo que impacta a operação — seja gente, seja dado, seja tecnologia. Se o mindset não mudar, nada muda. Se não houver preocupação real, controle mínimo, exigência de prova, a terceirização é só uma bomba-relógio. O fornecedor cuida da operação. Você cuida da responsabilidade. E isso não dá pra terceirizar.

Se ainda parece exagero, pensa na sua saúde. Quando você está doente, você vai em qualquer clínica que aparece na propaganda? Aceita qualquer médico sem perguntar nada? Se for um problema sério, você não procura referência, não pede indicação, não confere se o hospital tem estrutura? E mesmo depois de internar, você não quer saber quem é o médico, que exame tá sendo feito, que medicação está entrando no seu corpo? É natural ter esse cuidado — é o básico de quem quer continuar vivo. E ninguém tá dizendo que você tem que ir para o hospital mais caro do mundo — mas você faz o melhor possível dentro do que é viável, porque sabe que é a sua vida que tá na mesa.

Com segurança da informação é igual. Seus dados são o coração do negócio. Eles mantêm sua empresa respirando, faturando, entregando. Colocar tudo isso na mão de qualquer fornecedor, sem saber onde tá, quem acessa, como protege, é como entrar em cirurgia sem perguntar o nome do médico. Parece absurdo, mas é exatamente o que muita gente faz. O mínimo necessário é garantir que quem você contratou faça direito, que o contrato funcione na prática, que você fiscalize e cobre o básico bem-feito. Porque quando a falha aparece, é tarde pra pedir segunda opinião.

No fim, não existe desculpa de “coitado sem tempo”. Ou você internaliza e faz — garantindo na sua mão — ou você terceiriza e acompanha e cobra — garantindo que a entrega exista de verdade. Não existe uma terceira opção. Se não quer ser responsável por fazer, seja responsável por fiscalizar. É esse o papel do gestor que entendeu que terceirizar não é delargar — é ser fiscal do contrato, é proteger o que mantém sua empresa viva.

No próximo artigo, eu vou mostrar como auditar fornecedores na prática — sem frescura, sem burocracia que engessa, direto ao ponto.

E até lá, responda para você mesmo — com honestidade:

1. Quantos fornecedores críticos de TI hoje têm acesso direto aos seus dados?

2. Você conhece todos os requisitos de segurança que eles deveriam entregar?

3. Você já auditou cada um deles — ou só acreditou na promessa?

4. Você tem certeza de que não tem uma bomba de fornecedor prestes a explodir dentro da sua operação?