A app é sua. O risco também: porque deve auditar o software que compra.

Auditar não é desconfiar

Audita-se a contabilidade. Auditam-se processos, fornecedores, qualidade. Ninguém interpreta isso como desconfiança — é simplesmente boa gestão. Mas quando o tema é software, algo muda: "é um parceiro de confiança", "é um sistema crítico, não convém mexer", "se auditarmos, parece que estamos a acusar alguém".

O risco não desaparece por ser desconfortável. Software também toma decisões, guarda dados e cria dependências. Milhares de empresas confiam dados críticos a ERPs, plataformas cloud, aplicações setoriais e integrações — confiam, mas raramente verificam. Parte-se do princípio de que "é de um fornecedor conhecido" e "se fosse inseguro, alguém dizia". Confiar não é o mesmo que validar.

A empresária que fez a pergunta certa

Aconteceu-nos algo que vale a pena partilhar. Uma empresária procurou-nos para analisar uma app que está a desenvolver. Não é programadora: identificou uma necessidade no negócio e contratou uma equipa externa para criar a solução. O objetivo dela era claro — confirmar que a app não tinha vulnerabilidades que pusessem o negócio em risco.

Fez exatamente o que devia, por uma razão que muitos ignoram: a responsabilidade pela segurança não é delegável. Quem publica a app é quem responde perante clientes, reguladores e reputação — não a equipa que a desenvolveu. E a maioria dos problemas que encontramos nestas análises não é sofisticada: endpoints expostos, permissões de administrador deixadas "por conveniência", tokens e credenciais em repositórios, bases de dados acessíveis pela internet, erros do OWASP Top 10 repetidos vezes sem conta. Não é maldade — é velocidade. É "lançar rápido". Mas segurança não aparece por acaso.

Até os gigantes caem: a lição Mixpanel

No final de novembro, a OpenAI notificou os utilizadores de um incidente que ilustra a versão moderna deste problema: um dos seus fornecedores de analytics, a Mixpanel, foi atacado, e dados de utilizadores da API ficaram expostos — nomes, emails, localizações aproximadas. Não foi a OpenAI que foi atacada. Foi um fornecedor dentro da cadeia de serviços. E isso muda tudo.

A IA moderna não vive num único sítio — vive numa cadeia: plataformas, APIs, serviços de analytics, logging, cloud, integrações. Se um elo cair, a exposição é real, mesmo que a empresa principal esteja protegida. Quando adota ferramentas de IA, a segurança do seu negócio passa a depender também da segurança de quem as suporta.

O que uma auditoria realmente dá

Auditar uma aplicação — comprada, desenvolvida à medida ou herdada — serve para coisas simples: saber que dados estão realmente acessíveis, perceber quem tem acesso e porquê, avaliar o impacto real se algo falhar, e decidir com base em risco, não em fé. Não se trata de encontrar culpados; trata-se de conhecer a superfície de risco da empresa. As organizações maduras fazem isto regularmente. As restantes fazem… depois do incidente.

Grande parte dos incidentes não começa com um ataque direto — começa com uma aplicação legítima, mas mal protegida. Quando foi a última vez que auditou as suas?