Quando todos os servidores da grande empresa internacional do ramo de logística e transporte na qual então trabalhava foram bloqueados simultaneamente em 47 países por um ataque de ransomware, Queit Zunino, diretora de tecnologia à época, recebeu da matriz uma mensagem direta: “Vocês vão se virar sozinhos.” Sem equipe dedicada de resposta a incidentes e com infraestrutura de segurança fragilizada na ocasião, ela improvisou soluções que se tornaram cases de gestão de crise. No IT Forum Na Mata, Queit compartilhou as estratégias que permitiram retomar operações em cinco dias.

“Você não pode recuperar no mesmo ambiente. O processo forense levou meses. Não sabíamos quem era o paciente zero”, explicou a executiva, hoje diretora de TI atuando em outro segmento e coordenadora de pós-graduação em gestão de tecnologia na FIAP. A apresentação focou menos no ataque em si e mais nas decisões práticas que fizeram diferença entre colapso e recuperação.

Leia também: Scala, Lightera e Nokia usam o ar para atingir limite da luz e reduzir latência em 32%

Rede de contatos e diário de bordo

No olho do furação, Queit passou o primeiro dia ao telefone acionando toda a rede de contatos do mercado. Ligou para amigos de profissão e até para colegas de faculdade que trabalhavam com cibersegurança. “A gente precisava de conhecimento externo. Não tinha lidado com aquilo ainda”, disse. A mobilização resultou na contratação emergencial de uma empresa especializada em resposta a ataques, que permanece com ela até hoje.

Um conselho recebido nesse primeiro dia tornou-se fundamental: criar um diário de bordo detalhado. “Uma pessoa me disse que eu não saberia mais quando começou e quando terminou, que os dias não seriam mais iguais”, contou. O diário documentou cada decisão, cada custo, cada evolução. Resultado: a operação latino-americana foi a primeira a apresentar custos consolidados à seguradora, acelerando o ressarcimento e permitindo investir mais rapidamente na reconstrução.

Transparência como virada de jogo

A decisão mais impactante veio da presidência global. No segundo dia de crise, com clientes pressionando por respostas que ninguém tinha, o então presidente da empresa foi à imprensa assumir publicamente a condição de vítima. “Ele pediu que os clientes estivessem com a gente. Isso fez toda a diferença”, afirmou Queit.

A transparência transformou a dinâmica da crise. Clientes que exigiam respostas impossíveis passaram a colaborar. “O cliente não quer saber se vamos voltar, ele quer saber se o dado dele foi comprometido, se está na dark web. Nenhuma resposta eu tinha naquele momento”, admitiu. Com a exposição pública, a pressão diminuiu e o foco voltou para a recuperação.

A executiva replicou a estratégia internamente. Estabeleceu protocolo rigoroso: nada de explicações sobre como o ataque aconteceu ou previsões definitivas de retorno. “Dia a dia, eu ia contando a evolução e atualizando minha previsão. O conselho ansioso pode acabar com qualquer estratégia.” Reuniões diárias de 15 minutos com toda a empresa garantiram que todos tivessem as mesmas informações, evitando ruídos e especulações.

Divisão de frentes e reconstrução isolada

A organização da equipe foi crucial. Queit dividiu o time em frentes específicas: servidores, aplicações, integrações. “Nos primeiros momentos, todo mundo quer ajudar, mas ninguém sabe como. Todo mundo está desesperado”, observou. A especialização permitiu trabalho simultâneo e eficiente.

O desafio técnico era significativo. Os backups estavam íntegros, mas o plano de recuperação de desastres falhou porque os ambientes brasileiro e argentino compartilhavam os mesmos data centers. “Um contaminou o outro e perdemos tudo.” O servidor de códigos-fonte havia sido comprometido, com backups desatualizados de um ano. Parte do código precisou ser reconstruída nas primeiras 24 horas.

A reconstrução ocorreu em ambiente completamente novo e isolado, com sistemas renovados de proteção de pontos finais. “Você tem que ter resolvido uma série de questões, porque o risco é cair de novo”, alertou. Após 120 horas sem operar, a empresa emitiu o primeiro conhecimento de transporte eletrônico, documento essencial para liberar operações logísticas. Durante o período, transportadores trabalharam diretamente com clientes para minimizar impactos.

Lições práticas para gestores

A executiva destacou que o plano de continuidade de negócios existente não ofereceu respostas úteis. “Ele falava muito de soluções globais, mas não falava da gente, não tinha versão localizada.” A experiência a levou a adotar postura de revisão contínua. Passou a se questionar diariamente: se um ataque ocorresse amanhã, o que poderia ter feito hoje de diferente?

As práticas que implementou após a crise incluem simulações constantes de phishing, análise contínua de vulnerabilidades, segregação de rede e autenticação de múltiplos fatores. Um problema persiste: executivos seniores são os que mais falham nos testes de phishing. “Eles não estão vendo os treinamentos. Como chegamos em todas as camadas? Trazer visibilidade através de indicadores, dados, que é como esse time entende.”

A mudança cultural foi profunda. A empresa adotou modelo de confiança zero e toda a companhia passou por treinamentos de segurança. “Todos somos do time de segurança cibernética. Aprendemos da pior forma, foi um susto gigantesco, mas foi uma mudança importante de consciência”, avaliou.

Para gestores de tecnologia, Queit deixou três recomendações práticas: mantenha uma rede sólida de contatos no mercado para emergências, documente tudo em diário de bordo desde o primeiro minuto e revise planos de continuidade garantindo que contemplem cenários locais específicos. “Segurança cibernética, por mais conhecimento que você tenha, todos os dias você tem oportunidade de aprender de novo e dar mais um passo adiante”, concluiu.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!