Quem monitora as integrações invisíveis dos seus parceiros de negócios?

Por Daniela Nogueira

A cena é clássica nas salas de diretoria: a área de negócios celebra a homologação rápida de um novo parceiro estratégico. O departamento Jurídico respira aliviado porque o contrato tem 50 páginas, dezenas de cláusulas de SLA e garantias estritas de conformidade com a LGPD. A área de TI entrega a integração por API entre os sistemas em tempo recorde. Todos dormem tranquilos, com a sensação de que a governança funcionou.
Até que, seis meses depois, a manchete dos jornais estampa o vazamento de milhões de dados de clientes da sua empresa. A origem? Não foi um ataque sofisticado à sua infraestrutura, mas uma brecha silenciosa no sistema daquele parceiro recém-homologado.

No atual cenário de hiperconectividade corporativa, um dos principais inimigos da -proteção de dados não é a falta de cláusulas contratuais, mas o paradoxo da agilidade. E no centro desse paradoxo operam as verdadeiras “portas dos fundos” da LGPD: as APIs (Interfaces de Programação de Aplicações).

Leia mais: Associação Brasileira de Automação abre Centro de Inovação em Brasília

O “blindspot” do TPRM tradicional

O modelo tradicional de Gestão de Risco de Terceiros (TPRM) está obsoleto. Ele foi desenhado para um mundo analógico, operando à base de questionários de segurança (os famosos due diligence) preenchidos uma vez por ano e planilhas estáticas de compliance.

O problema é que negócios digitais não são estáticos. Para que o seu e-commerce converse com a transportadora, ou seu RH troque dados com a corretora de saúde, são criadas APIs. Elas são vias expressas de dados. Enquanto as empresas gastam fortunas blindando a “porta da frente” com firewalls robustos, as APIs funcionam como portas de serviço encostadas para facilitar o fluxo de trabalho dos fornecedores.

Uma API pode ser alterada em uma simples atualização de software de um parceiro numa terça-feira à tarde. Entretanto, se essa atualização trouxer uma falha de configuração, como a ausência de limites de requisição de dados, o contrato assinado em janeiro se torna papel em branco. O risco mudou em tempo real, mas o seu programa de TPRM só faria uma nova auditoria no ano que vem.

Nesse contexto, a maior provocação que os líderes de negócios precisam analisar hoje é que os ataques via API raramente se parecem com invasões mirabolantes e dignas de filmes de Hollywood. O cibercriminoso não precisa quebrar a criptografia do seu banco de dados. Ele simplesmente encontra a API mal configurada do seu parceiro de logística ou marketing e começa a “fazer perguntas legítimas” ao sistema. Sem as devidas travas de autorização, a API do terceiro entrega os dados dos seus clientes de bandeja, lote por lote. É um roubo silencioso, limpo e contínuo.

Para a Agência Nacional de Proteção de Dados (ANPD) e para o mercado, pouco importa se a culpa técnica foi do fornecedor. O dado vazado era titular do então cliente. A quebra de confiança, bem como eventuais sanções administrativas, carregaram o logotipo da sua empresa.

Para efetivamente proteger dados em uma cadeia de suprimentos digital é necessário abandonar a ingenuidade de que a conformidade contratual garante a segurança técnica. O mercado precisa adotar uma postura mais agressiva e preventiva em relação às integrações, por meio de medidas técnicas e administrativas como:

• Combate à Shadow API: Você não pode proteger o que não enxerga. O primeiro passo é mapear absolutamente todas as vias de integração de dados ativas com terceiros. Muitas vezes, conexões são criadas pelas áreas técnicas sem passar pela validação de segurança;
• Monitoramento Contínuo: A postura de segurança de uma integração deve ser validada em tempo real e periódico, conforme o contexto da empresa. Se o parceiro alterar a arquitetura da API que consome dados, seus sistemas de defesa devem detectar a mudança e, se necessário, cortar o acesso automaticamente;
• Adoção do Zero Trust: O fato de uma requisição de dados vir do endereço IP de um parceiro homologado não significa que ela é benigna. Cada pedido de extração de dados deve ser autenticado, validado e estritamente limitado ao escopo da operação.

Cabe ressaltar que a LGPD não é um projeto com começo, meio e fim, mas sim um estado contínuo de monitoramento e adequação conforme o contexto da empresa, diretrizes legais e boas práticas de mercado. Enquanto as empresas continuarem gerenciando seus parceiros tecnológicos apenas com cláusulas contratuais e planilhas, ignorando o comportamento dinâmico do código que os conecta, as APIs continuarão sendo a via mais rápida entre um bom negócio e uma crise de reputação sem precedentes.