A segurança corporativa não falha apenas em data centers. Ela falha em contratos mal geridos, integrações invisíveis e permissões herdadas sem rastreabilidade. E o caso Gol/Smiles não é um incidente isolado, é a síntese de um risco estrutural que grande parte do mercado ainda subestima.

Em 12/11, a Gol Linhas Aéreas confirmou o acesso não autorizado a um sistema terceirizado operado pela Smiles. O incidente afetou menos de 0,04% da base, mas incluiu dados sensíveis como e-mails, documentos e telefones. Isso basta para habilitar fraudes de identidade, engenharia social e golpes com alto potencial de dano reputacional.

O problema não foi tecnológico. Foi arquitetural. E começa na forma como empresas modelam sua cadeia de valor digital.

Risco compartilhado é responsabilidade indivisível

Organizações investem em firewalls e criptografia, mas mantêm fornecedores sem certificações mínimas. O incidente da Gol expõe um ponto-chave: a falha não ocorreu dentro da infraestrutura principal, mas em um elo periférico, fora da governança direta.

No contexto da LGPD (Art. 46 a48), isso não isenta a empresa de responsabilidade. O controlador responde por falhas dos seus operadores. Delegar não exclui. E é exatamente esse o erro recorrente: tratar o risco terceirizado como externo.

Dados “não sensíveis” também são insumo para o crime

Mesmo com cartões, senhas e milhas preservados, a exposição de dados cadastrais já representa alto risco.Em nosso trabalho na Vennx, vemos diariamente como informações básicas alimentam:

• fraudes por identidade sintética;
• ataques de phishing altamente segmentados;
• tentativas sofisticadas de engenharia social.

O dano raramente está na base dedados, ele emerge nos ciclos seguintes, silencioso, distribuído e recorrente.

Segurança não é resposta, é arquitetura

A resposta da Gol seguiu o protocolo: notificação à ANPD, investigação forense e comunicação com titulares. Mas prevenção exige mais do que plano de crise. Exige um modelo de governança contínuo, com visibilidade sobre o ecossistema de terceiros.

A maioria das empresas ainda opera no modelo “manual e reativo”. Falta automação, integração e visibilidade centralizada. Falta o que chamamos de GRC dinâmico.

Três pilares para reestruturara proteção de terceiros

1. Due diligence contínua, não pontual

Auditoria técnica, exigência de certificações (ISO 27001, SOC 2), revisão contratual com cláusulas de segurança e responsabilidade solidária.

2. Monitoramento preditivo com IA

Rastreabilidade de acessos, API se integrações. Ferramentas como o Oráculo cruzam dados em tempo real,identificam desvios e corrigem inconsistências automaticamente.

3. Governança responsiva

Gatilhos automatizados de resposta, mapeamento de impacto regulatório e planos de contingência integrados entre áreas técnicas, jurídicas e operacionais.

Conclusões que o mercado não pode ignorar

O Gol/Smiles não é exceção. É o sintoma de uma arquitetura desatualizada. E o mercado não pode mais operar soba ilusão de que segurança é um departamento. Ela precisa ser um eixo estruturante, transversal, auditável e escalável.

Na Vennx,criamos soluções que atuam onde o papel e a planilha não alcançam. Com IA,automação e governança aplicada à realidade regulatória de empresas auditadas,damos visibilidade e controle a sistemas complexos, antes, durante e depois do risco.

‍