Conteúdo ESSENCIAL para líderes que evoluem

    O apagão da Cloudflare não é “só mais um bug”. É um alerta.

    Por Rodrigo Gava, CTO e co-CEO da VULTUS

    Na manhã desta terça (18), uma falha em um dos maiores provedores de infraestrutura da internet derrubou ou degradou o acesso a serviços como X, OpenAI/ChatGPT, Canva, Grindr e até operações em aeroportos, afetando algo em torno de 20% do tráfego global da web.
    Em poucas horas, boa parte do mundo digital descobriu na prática o que significa concentrar boa parte da vida online em poucos intermediários.

    Mais do que discutir a causa técnica do incidente, o episódio expõe um ponto cego grave na forma como empresas tratam riscos de terceiros e continuidade de negócios.

    Terceirização demais, estratégia de menos

    O mercado evoluiu bastante em TPCRM (Third-Party Cyber Risk Management, ou gestão de risco cibernético de terceiros). Vimos a popularização de ferramentas que atribuem “scores de postura” para fornecedores, com base em vulnerabilidades conhecidas, configurações erradas, exposição em internet etc. Isso é importante, mas é claramente insuficiente.

    Na prática, o que muitas empresas chamam de TPCRM e GCN (Gestão de Continuidade de Negócios) ainda é:

    • Superficial: foca em questionários, rating de fornecedores e planilhas, mas pouco conecta isso a impactos reais de negócio.
    • Estático: revisado uma vez por ano, sem simulações vivas de crise com os terceiros mais críticos.
    • Pouco orientado ao “fim”, que deveria ser simples de enunciar: mitigar riscos e manter o negócio funcionando, mesmo quando um grande parceiro cai.

    O outage da Cloudflare escancara isso: poucas empresas, ao escolherem um único grande provedor de proxy reverso, CDN ou DNS, realmente se perguntam:

    “O que acontece com meu faturamento, minha operação e minha reputação se esse fornecedor ficar indisponível por três horas em horário de pico?”

    A internet nasceu para não ter um ponto único de falha

    Existe um paradoxo aqui. A própria internet foi desenhada, lá atrás, com um princípio fundamental: evitar pontos únicos de falha. O conceito de redes em pacotes e rotas alternativas nasce justamente dessa necessidade de resiliência.

    Na prática, porém, o que estamos fazendo é o oposto: concentrando aplicações, segurança, DNS, entrega de conteúdo, autenticação e observabilidade em pouquíssimos provedores globais. Quando um deles falha, o “efeito dominó” atinge:

    • sites e plataformas B2C,
    • operações críticas (como check-in em aeroportos),
    • canais digitais de relacionamento com clientes,
    • cadeias inteiras de fornecedores.

    Não se trata de culpar a Cloudflare ou qualquer outro player específico. Incidentes acontecem com todos. O problema é a dependência estrutural sem plano B.

    Depositar a “vida digital” da empresa em um único provedor, sem alternativas minimamente desenhadas, é quase uma heresia diante dos princípios que deram origem à própria internet.

    Apenas 24% têm um plano de continuidade estruturado

    Quando olhamos para o preparo interno das organizações, o cenário não é melhor.

    De acordo com o Panorama do Risco Cibernético 2025, estudo recente com empresas brasileiras de médio e grande porte, apenas 24% possuem um Plano de Continuidade de Negócios (PCN) de fato estruturado – com governança clara, escopos definidos, testes periódicos e integração com riscos cibernéticos e de terceiros.

    Ou seja: mesmo com um volume recorde de ataques cibernéticos e incidentes de infraestrutura, a maioria das empresas não está pronta para responder a interrupções que atinjam seus principais provedores digitais.

    No papel, muita gente fala de crise, continuidade e resiliência. Na prática, o que existe é:

    • um documento guardado numa pasta de compliance,
    • um slide bonito no board,
    • contratos com grandes fornecedores que “garantem” alta disponibilidade.

    E só.

    O que deveria mudar depois deste apagão

    O episódio da Cloudflare deveria ser um divisor de águas, especialmente para conselhos, CEOs, CFOs, CIOs e CISOs. Em termos simples, há pelo menos cinco movimentos imediatos que qualquer empresa séria pode (e deveria) fazer:

    Mapear os terceiros verdadeiramente críticos
    Não é uma lista interminável de fornecedores. São aqueles sem os quais você não fatura, não opera ou não cumpre obrigação regulatória. Infraestrutura, nuvem, provedores de segurança, meios de pagamento, telecom, entre outros.

    Incluir cenários de “queda de grande provedor” nos exercícios de crise
    Não basta simular ransomware dentro de casa. É preciso simular: “E se o nosso principal provedor de CDN/DNS cair?”

    • Como comunicamos com clientes?
    • Qual o impacto em receita por hora?
    • Existe canal alternativo de atendimento?
    • Quais decisões o comitê de crise precisa tomar nos primeiros 15 minutos?

    Desenhar arquitetura sem ponto único de falha de terceiros
    Em muitos casos, é possível – e desejável – ter:

    • provedores redundantes (multi-CDN, multi-cloud, secundário de DNS);
    • rotas alternativas para canais críticos;
    • planos de degradação controlada (o que fica ativo, o que é desligado, o que passa para modo manual).

    Conectar TPCRM com Continuidade de Negócios
    Gestão de risco de terceiros não pode ser só um questionário. Os riscos identificados precisam se traduzir em:

    • cláusulas contratuais de disponibilidade, transparência e comunicação em crises;
    • planos de resposta conjuntos (quem fala com quem, em quanto tempo, por qual canal);
    • critérios claros de substituição ou redundância quando o risco de concentração for alto demais.

    Tratar resiliência digital como tema de negócio, não apenas de TI
    Cloudflare, AWS, Azure e outros gigantes de infraestrutura não são apenas “fornecedores de tecnologia”. Eles são hoje pontos de sustentação do modelo de negócios.
    Isso significa envolver:

    • CFO, para medir impacto financeiro de minutos de indisponibilidade;
    • jurídico e compliance, para avaliar obrigações contratuais e regulatórias;
    • marketing e relações com a imprensa, para gerir comunicação em incidentes públicos.

    De “mais um incidente” a agenda estratégica

    Outages como o da Cloudflare vão continuar acontecendo. O volume e a complexidade dos serviços que esses provedores carregam tornam impossível garantir 100% de disponibilidade, 100% do tempo.

    A pergunta que as empresas precisam responder não é se confiam ou não nesses gigantes. A pergunta é outra:

    “Estamos dispostos a concentrar o coração digital do nosso negócio em um único terceiro, sem plano B, sabendo que falhas vão acontecer?”

    Enquanto TPCRM e GCN forem tratados como formalidade ou check-box para auditoria, continuaremos vulneráveis a esse tipo de choque.
    Quando passarem a ser tratados como ferramentas para proteger receita, reputação e continuidade real do negócio, episódios como o apagão de hoje deixarão de ser apenas notícias incômodas — e passarão a ser insumos valiosos para amadurecer a estratégia.

    Compartilhe:

    Conteúdo Anterior
    Conteúdos Recentes

    Você também pode se interessar:

    Editorias

    Edit Template

    sobre

    conteúdo indispensável para líderes que desejam evoluir

    Acompanhe as nossas redes sociais

    Instagram Facebook-f Linkedin-in Youtube Spotify

    editorias

    assine a newsletter

    Siga a Letícia nas redes sociais

    Facebook-f Linkedin-in Instagram Link

    © 2024 Identidades de Sucesso | Empresa do Grupo Identidade | Todos os Direitos Reservados | Portal desenvolvido por ID Branding & Co.

    Criado por  GDPR Cookie Compliance
    Políticas de Privacidade

    Este site usa cookies para que possamos oferecer a melhor experiência de usuário possível. As informações de cookies são armazenadas em seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.