O recente ataque de ransomware que interrompeu as operações de uma grande plataforma educacional em nuvem, utilizada por milhares de instituições globais, expôs um problema recorrente no ambiente corporativo: a dependência de serviços SaaS sem a manutenção de cópias independentes dos próprios dados.
No Brasil, onde a adoção dessas soluções acelerou em áreas como RH, finanças, CRM e gestão de projetos, o cenário é crítico. Muitas organizações operam sem backup externo das informações armazenadas nessas ferramentas, sem testes de restauração regulares e sem um plano de contingência para o caso de o serviço contratado ficar indisponível.
Para Dave Russell, vice-presidente sênior e líder de Estratégia da Veeam Software, o erro está na premissa das empresas. “Migrar para SaaS não elimina o risco, apenas muda a sua natureza. Os dados continuam sendo de responsabilidade da empresa. A medida mais prática é aplicar uma higiene de dados consistente e manter cópias independentes dos arquivos mais críticos, para que a recuperação aconteça no prazo da empresa, não no do atacante”, resume Russell.
O ponto levantado pelo executivo toca no modelo de responsabilidade compartilhada, presente nos termos de uso da maioria dos provedores. Essa regra estabelece que a empresa contratada cuida da infraestrutura e da disponibilidade do software, mas a integridade e proteção das informações inseridas são de obrigação exclusiva do cliente, impossibilitando exigir que o provedor restaure dados corrompidos por ataques.
Rick Vanover, vice-presidente de estratégia de produto da Veeam Software, é direto sobre os perigos dessa desatenção do mercado. “O modelo de responsabilidade compartilhada é aquela letra miúda que ninguém lê até que ocorra um incidente. Trate o SaaS como qualquer outro sistema em produção: proteja a identidade, saiba onde os dados estão e tenha um plano de recuperação que não dependa da plataforma que está com problema. O ransomware adora pontos únicos de falha”, alerta Vanover.
O incidente com a plataforma educacional exemplifica um debate que ganha força com a migração massiva de operações críticas para a nuvem. Manter cópias independentes, testar rotinas de restauração e eliminar pontos únicos de falha deixaram de ser recomendações técnicas secundárias e passaram a ser medidas de sobrevivência de negócios quando o colapso ocorre no próprio fornecedor.
