agosto 19, 2019 Patrick Mendes

Os 5 principais erros de startups em segurança da informação

Quando se trata de segurança da informação, enganos podem comprometer a gestão, a estratégia e até mesmo a sobrevivência de empresas no mercado.

Isto vale para companhias de todos os portes, incluindo as startups – um segmento que, segundo a Associação Brasileira de Startups (ABStartups), concentra mais de 10 mil organizações operantes no país, além de movimentar cifras altas em toda a América Latina: cerca de  R$ 2,86 bilhões em investimentos, conforme números da LAVCA – Associação Latino-americana de Fundos de Capital de Risco.

Uma rota de crescimento exponencial que não pode ser barrada por métodos, práticas e modelos incorretos. E, como sabemos que muitos destes enganos ocorrem por falta de informação, trago hoje um breve apanhado dos maiores erros que podem ocorrer na trajetória destes negócios, em termos de segurança, conformidade e privacidade de dados, além da indicação de como evitá-los ou saná-los. Confira:

 

Erro 1: falta de atualização

Postergar ou deixar de fazer atualizações de software pode ser um grave engano. Muitas empresas, especialmente as de menor porte, protelam estes upgrades, por várias razões: falta de tempo para deixar o software atualizando, falta de pessoal para monitorar as novas features, patches e outros componentes disponibilizados pelos fabricantes, ou mesmo falta de atenção a estes detalhes.

Só que isso pode custar caro. É bom lembrar que algumas das pragas virtuais mais daninhas dos últimos anos, como o mundialmente famoso Wannacry, realizaram seus ataques exatamente explorando falhas de atualização em sistemas operacionais, gerando prejuízos monetários gigantescos, para não falar nas máculas à reputação das organizações atingidas, bem como nas perdas por paradas de negócio.

Para evitar incorrer neste erro, o ideal é manter-se atento às atualizações disponíveis para cada solução utilizada, fazendo os upgrades sempre da maneira recomendada e dentro do prazo estipulado.

 

Erro 2: jogar a responsabilidade legal no terceiro

Sua startup foi a mercado, contratou um parceiro para gerir a segurança da informação, e, de repente, sofreu um vazamento de dados. Logicamente, a culpa é do terceiro contratado, e você não será penalizado por isso, certo? Errado, muito errado!

Você será responsabilizado legalmente, sim. Não importa o porte da empresa: se estiver de posse de informações de terceiros, terá responsabilidade legal sobre as mesmas e, por consequência, estará sujeita a penalizações caso tais dados vazem ou venham a ser utilizados de forma ilegal.

As novas legislações, como GDPR (já em curso na Europa) e LGPD (que entra em vigor em agosto de 2020 no Brasil) vêm jogando ainda mais luz sobre a tutoria das empresas em relação aos dados que solicitam/utilizam de seus mercados consumidores. Mas, mesmo antes destas leis, já há regras e consensos sobre isso, e toda empresa pode sofrer sanções e multas em decorrência da exposição de tais dados.

Lembre-se: se suas redes forem vítimas de ataques, invasões, existe o risco de ser penalizado duas vezes – uma pelo ataque sofrido, que já é pena suficiente para gerar dor de cabeça em qualquer gestor, outra pelas penalizações possivelmente cabíveis em função da perda/exposição de informações.

Logo, um bom primeiro passo é, sim, cercar-se de parceiros confiáveis, com competência reconhecida, para gerir a segurança da informação. Isso com certeza ajudará muito a tomar as medidas corretas para mitigar riscos trazidos pelo cibercrime.  Porém, não esqueça que isso não equivale a sua empresa estar isenta de responsabilidade sobre os dados que detém.

 

Erro 3: achar que é invisível ao cibercrime

Muitas startups pensam ser pequenas demais para estarem no radar dos criminosos virtuais. Ledo engano! Graças à representatividade que tal segmento alcançou no mercado, hoje estes empreendimentos também estão, e muito, na mira dos ataques.

Ao contrário do que possam imaginar, estas companhias, exatamente por serem pequenas ou iniciantes, chamam a atenção dos invasores, já que podem figurar aos olhos destes como “presas fáceis”. Isto porque vários destes indivíduos mal intencionados apostam na fragilidade das estruturas de segurança destas organizações – e, muitas vezes, estão corretos em pensar assim.

Startups são conhecidas por investirem mais no operacional, na “mão na massa”, do que na adoção de processos estruturados, seja na área de segurança da informação, seja em outros campos ligados à gestão. Isso, por si só, é um erro que expõe a risco, já que pode deixar portas abertas para invasões, roubos de dados, ataques de negação de serviço, entre outros.

Escapar disso exige buscar e implantar práticas e soluções que melhorem a proteção dos dados, sistemas e infraestrutura. Isto pode ser feito internamente, ou via contratação de terceiros especializados. O melhor modelo, caberá a cada startup definir, de acordo com suas necessidades e orçamento.

 

Erro 4: ignorar o Big Data

Outra falha em que comumente as startups incorrem é não prestar atenção a todas as frentes geradoras  de dados.

Muitas vezes, estes empreendimentos se atêmplanilhas, sistemas, cadastros, mas acabam esquecendo que as fontes de informação vão muito além disso – da câmera de segurança à webcam, dos áudios trocados tudo pode ser explorado pelos hackers, se assim o quiserem.

E mesmo que não se fale em um ataque hacker, o vazamento de um áudio indevidamente entre os próprios funcionários da empresa, ou destes com seus familiares, pode ser um problema grave.

Não estar atento a esta estrutura massiva que gera dados o tempo todo é um erro, e não é dos pequenos. Na verdade, de onde menos se espera pode vir a próxima ciberameaça – veja-se os casos recentes de companhias norte-americanas que amargaram ataques por invasões em seus sistemas de estacionamento e tubulação de ar.

A melhor forma de evitar tais riscos é manter vigilância a todas as frentes possíveis e imagináveis de geração de informações. É bastante trabalhoso, e por isso mesmo cada empresa precisa estudar se tem capacidade para gerir isso sozinha ou se precisa da ajuda de fornecedores capacitados. Seja qual for o caminho tomado, o fato é que tal monitoramento precisa ser feito.

 

Erro 5: enxergar a segurança da informação como custo

Talvez este tópico devesse ter vindo lá no topo da lista, já que é de suma importância. Para a maioria das startups, orçamento é um item crítico. E, é claro, só é possível investir no que for realmente necessário.

Mas onde está o erro nisso? Em não incluir a segurança da informação entre as demandas vitais do negócio.

Já abordamos a questão das startups chamarem atenção do cibercrime, e a pouca atenção destas companhias à privacidade de dados desde o início das operações é um dos maiores motivos disso. Ora, se o cibercriminoso sabe que tal estrutura é vulnerável, mas pode conter dados que o interessem, por que não atacá-la?

O grande erro aqui é esperar que a empresa cresça para, só então, pensar em segurança da informação. Pode ser que o não investimento nesta área seja o gargalo para que este crescimento projetado jamais aconteça, ficando barrado por ataques que poderão minar a imagem, as operações e o caixa da companhia.

Investidas de roubos de dados, ataques de negação, pishing, entre muitas outras modalidades de crimes virtuais são um risco desde o início de qualquer empreendimento. E, por isso, negligenciá-los pode significar expor-se a um risco que custará muito mais caro a gestão avaliou como “custo desnecessário” ao pensar em soluções de cibersegurança.

Evitar ou corrigir este erro passa por avaliar, desde o princípio, as necessidades de proteção do negócio, e escolher de forma sensata, alinhada ao core business e ao orçamento disponível, as soluções mais adequadas.

Estes, é claro, não são os únicos temas sobre os quais podemos tratar, em se tratando de possíveis erros e riscos em segurança da informação no caso das startups. O assunto é vasto, e certamente será tema de novos posts futuros aqui no blog.

Acompanhe e fique atento aos conteúdos, que estamos construindo com um objetivo principal: auxiliar organizações de todos os portes a se tornarem mais seguras e eficientes.

 

Patrick Mendes, Head of Growth
IT2S Group BR | US

, , , , , , , ,
WhatsApp chat