O recente ataque cibernético ao BTG Pactual nos traz uma reflexão crucial sobre a verdadeira extensão da cibersegurança em grandes instituições financeiras e empresas privadas como um todo. O incidente joga luz sobre um problema latente: o risco sistêmico originado em terceiros e o vazamento de credenciais.

A grande dor hoje não é, necessariamente, a falta de tecnologias de ponta nos bancos, mas sim a fragilidade nos endpoints e nas credenciais de acesso de quem presta serviços para essas instituições.

O vazamento de credenciais é, sem dúvida, a “arma do crime” na maioria dos ataques bem-sucedidos. No entanto, o “meio de transporte” para esse ataque muitas vezes é um computador de um prestador de serviços externo – que acessa os sistemas de instituições como o BTG ou a XP – e que não possui as camadas de proteção necessárias para um acesso tão sensível.

Isso nos leva a um ponto fundamental: a governança de acesso. A segurança precisa ser pensada como um todo. É preciso ir além do perímetro e aplicar conceitos de Zero Trust, onde cada acesso, independentemente da origem, é verificado e monitorado.

A “segurança devida” para um computador de terceiros que acessa dados bancários não é opcional; é uma exigência de compliance e de sobrevivência nos dias de hoje. O incidente com o BTG deve acelerar a adoção de políticas mais rigorosas de gerenciamento de risco de terceiros (Third-Party Risk Management) em todo o setor.

A transformação digital não é apenas sobre rapidez e eficiência; ela também é sobre resiliência e a capacidade de proteger o que é mais importante: os dados.

A segurança da informação não pode ser um custo; ela é o alicerce de qualquer operação digital. O incidente com o BTG é um lembrete urgente de que precisamos elevar o nível de exigência de segurança em todo o nosso ecossistema de parceiros.

Seu ecossistema de terceiros está realmente protegido? Ou você também está a um vazamento de credencial de distância de um incidente?