Há duas semanas chegou ao setor de TI uma demanda relacionada a suporte. Um visitante, um terceiro contratado para acompanhar algumas atividades em conjunto com outro setor da empresa, não estava conseguindo se conectar a uma aplicação necessária para dar seguimento às atividades contratadas pelo negócio.

Pouco tempo antes, havíamos revisado as políticas de acesso à rede na qual esse visitante estaria conectado. Tratava-se de uma rede de visitantes e, logicamente, não havia necessidade de liberação de acesso completo.

Diante disso, como foi planejado o acesso a essa rede?

A ideia nunca foi limitar acessos de forma indiscriminada, mas sim fornecer apenas os acessos necessários para a execução das atividades de um visitante. Isso evita tráfego desnecessário, reduz exposição e não abre oportunidades para possíveis vetores de risco ao negócio.

Evidentemente, esse modelo pode variar de negócio para negócio, mas, para este cenário específico, a arquitetura havia sido estruturada dessa forma.

O problema é que a informação chegou tarde. A análise e a revisão só foram realizadas após a saída do visitante, o que tornou necessário reagendar sua visita. Essa situação impactou diretamente a continuidade das atividades do setor e, consequentemente o negócio.

E afinal, qual aplicação estava sendo bloqueada?

O Canva.

O Canva não havia sido bloqueado intencionalmente pela equipe. Ele acabou sendo enquadrado em uma categoria que, por padrão, não estava liberada dentro da arquitetura de acesso planejada.

Durante uma conversa com a equipe, mencionei que o Canva estava sendo bloqueado e, em determinado momento, ouvi a seguinte colocação:

"O Canva não é um risco, não precisa bloquear."

Confesso que fiquei refletindo sobre essa fala. Ela não estava errada, mas também não estava 100% correta.

E é exatamente aqui que nasce a ideia deste artigo.

A intenção não é falar negativamente sobre o Canva. Pelo contrário: trata-se de uma excelente solução. O objetivo é refletir sobre os possíveis vetores de risco que uma aplicação específica pode representar quando não há um olhar atento e uma governança adequada.

None
Imagem ilustrativa gerada pelo ChatGPT.

Que tipo de risco o Canva pode representar para um negócio?

Antes de entendermos quais riscos uma ferramenta pode ou não representar, é importante revisitar alguns conceitos básicos.

O que é um risco?

None
Imagem ilustrativa gerada pelo ChatGPT.

Risco pode ser definido como tudo aquilo que representa uma incerteza, algo que pode vir a impactar pessoas, negócios, meio ambiente ou operações.

Já o risco tecnológico pode ser entendido como eventos razoavelmente identificáveis, com potencial de causar efeitos adversos à segurança dos sistemas de informação.

Ao observar o histórico de negócios que sofreram impactos financeiros e de reputação ao longo do tempo, ainda percebemos uma certa dificuldade em identificar, classificar e tratar riscos de forma adequada.

Nem todo risco é cibernético, como uma vulnerabilidade explorável por um atacante. Da mesma forma, nem todo risco está diretamente ligado a malware ou ransomware. Muitos riscos são operacionais, jurídicos, estratégicos ou relacionados à gestão de acessos e dados.

Neste artigo, não trato o Canva como uma ameaça, mas sim dos riscos que podem existir por trás de seu uso quando não há uma administração cuidadosa dessas soluções.

Tipos de riscos que podem ser representados

Riscos de Identidade e Acesso

O uso de senhas fracas ou reutilizadas continua sendo um dos vetores preferidos por cibercriminosos. Campanhas de phishing frequentemente criam domínios falsos para enganar usuários de grandes plataformas, como o Canva, obtendo acessos que podem comprometer outras frentes do negócio.

Além disso, o compartilhamento de contas entre vários colaboradores aumenta significativamente o risco de acesso indevido, especialmente quando não há um processo eficaz de revogação de acessos após o desligamento de um funcionário.

Riscos de Dados e Privacidade

A exposição de informações sensíveis como relatórios financeiros ou dados de clientes no envio de conteúdos confidenciais para criação de apresentações pode comprometer o negócio em caso de vazamento, falhas de configuração ou comprometimento da plataforma.

O uso de recursos de IA, como os oferecidos pelo Canva (ex.: Canva Shield), pode exigir configurações específicas relacionadas ao uso de dados para treinamento de modelos. Quando mal gerenciado, esse cenário pode representar riscos de conformidade com legislações como a LGPD.

Riscos de Propriedade Intelectual e Jurídicos

O uso de elementos prontos do Canva pode impedir o registro de logotipos como marca exclusiva em órgãos como o INPI, gerando riscos de plágio involuntário e disputas legais.

Grande parte dos recursos da plataforma é disponibilizada sob licenças não exclusivas, o que significa que múltiplos negócios podem utilizar elementos visuais semelhantes, diluindo o valor e a identidade da marca.

Riscos Emergentes

Cibercriminosos já utilizam inteligência artificial para criar ataques de engenharia social cada vez mais convincentes e direcionados, especialmente contra usuários de plataformas SaaS. Isso pode facilitar a entrada em ecossistemas corporativos e ampliar o impacto de incidentes de segurança.

Conclusão

Este cenário reforça que nenhuma aplicação, por mais simples ou popular que pareça, deve estar fora de um modelo de governança eficaz. A ausência de controle pode resultar em impactos regulatórios, danos à reputação e perdas financeiras que, em casos extremos, podem comprometer a continuidade de um negócio.

O caso apresentado no início deste artigo demonstra que não se trata de bloquear ferramentas, mas de entender o contexto, o uso e os riscos associados. Em um cenário cada vez mais digital, negócios que desejam se manter resilientes não devem hesitar em amadurecer suas práticas de segurança da informação e cibersegurança, mapeando riscos e adotando uma gestão consciente e estratégica.