Cibersegurança para startups: por que você deve ficar de olho nesse tema?
A recente aceleração da transformação digital trouxe mudanças significativas para o mercado, da digitalização de processos à adesão ao home office. Porém, isso também expôs falhas de segurança e abriu as portas para uma série de ameaças.
Nunca foi tão necessário falar sobre cibersegurança para startups, tendo em vista que tais companhias nascem e se desenvolvem em meio digital. Entretanto, não são poucos os desafios enfrentados por esta área junto às organizações.
Dados de uma pesquisa do instituto Datafolha revelam que 80,6% das empresas dizem reconhecer a importância da cibersegurança. Contudo, apenas 31% delas tratam a área como prioridade em seu plano de investimentos.
Este posicionamento é, no mínimo, contraditório, concorda?
Qual será o motivo de tamanha discrepância?
Para explicar a crescente relevância da cibersegurança para startups, trouxemos um panorama da área, desafios e tendências. Além disso, entrevistamos Ramon de Souza, escritor, jornalista especializado e consultor em segurança da informação.
O que é cibersegurança?
Cibersegurança é um conjunto de práticas voltadas para a proteção de dispositivos, sistemas, redes e demais infraestruturas digitais contra ações maliciosas, como: ataques, invasões, manipulações, vazamentos, roubo ou sequestro de informações.
Ou seja, o grande objetivo dessa área é garantir a segurança de empresas e usuários, resguardando o sigilo e privacidade de seus dados.
Qual é a importância da cibersegurança para startups?
Da mesma forma que a tecnologia proporciona o crescimento acelerado, característico de startups, também abre as portas para vulnerabilidades que podem comprometer a segurança do negócio, expondo seus dados a riscos.
Logo, se os cuidados com a cibersegurança já são importantes para as empresas tradicionais, no caso das startups, eles devem ser redobrados, uma vez que estamos falando de negócios essencialmente tecnológicos, que carregam o digital em seu DNA.
Para se ter uma ideia, de acordo com um relatório divulgado pela plataforma de inovação Distrito, no ano de 2021, o Brasil teve um aumento de 92% no número de ataques de ransomware — prática de sequestro de dados com exigência de resgate.
Além desta, outros exemplos de ameaças comuns são:
phishing: mensagens se passando por lojas, bancos ou outras empresas, com o objetivo de roubar dados dos usuários;
ataques DDoS: ataques sistematizados que sobrecarregam o sistema, inutilizando-o;
injeção de SQL: inserção de código malicioso no sistema, visando ter acesso a informações sigilosas;
spyware: software espião, que se infiltra em sistemas para coletar informações e rastrear as atividades dos usuários.
Como pode perceber, esses ataques podem ter diferentes objetivos, do sequestro de dados para extorquir dinheiro em troca da liberação dos arquivos, até o roubo de informações sigilosas da empresa e de seus clientes.
Diante disso, fica evidente que mais do que garantir a segurança das informações de uma startup, investir em cibersegurança é fundamental para manter a confiança e credibilidade do ecossistema de parceiros, investidores e clientes.
Quais são os desafios da cibersegurança para startups?
Provavelmente o maior dos desafios desta área é tornar o investimento em práticas de cibersegurança uma rotina. Como vimos, apesar de reconhecer a importância da segurança de dados, poucas são as empresas que realmente investem na área.
Contudo, com a aceleração do processo de transformação digital e consequente aumento no número de ataques, é de se esperar que este posicionamento seja revisto — principalmente no que diz respeito à cibersegurança para startups.
Em outras palavras, é preciso promover uma mudança de mindset, de modo que este setor deixe de ser encarado como custo pelas empresas, e passe a ser entendido como investimento. Afinal, a economia de hoje pode sair muito cara amanhã.
Outro desafio está na adesão de novos formatos de trabalho, uma vez que a transição para o home office ou ao modelo híbrido nem sempre é feita de forma segura.
Neste caso, o risco está em abrir mão do padrão de segurança praticado nos ambientes corporativos, conforme explica Josemando Sobral, co-fundador da Unxpose, startup do ramo de cibersegurança:
“O trabalho remoto aumentou a superfície de ataques e hackers possuem mais oportunidades para explorar dispositivos e redes vulneráveis de funcionários. Isso aumenta consideravelmente a chance de vazamento de dados sensíveis.”
Além disso, devemos considerar o rápido e constante surgimento de novas ameaças, demandando um esforço contínuo das práticas de cibersegurança para startups no combate a esses males.
Quais são as tendências de cibersegurança para startups?
Um dos efeitos do processo de transformação digital é o aumento na produção de dados. Isso indica que o volume de informações armazenadas só tende a crescer.
Logo, as práticas de segurança devem evoluir paralelamente à tecnologia. Do contrário, sempre estaremos um passo atrás dos cibercriminosos.
Por isso, reiteramos a necessidade urgente de que a cibersegurança deixe de ser encarada como gasto e passe a ser vista como investimento.
Outro ponto que merece destaque está nos efeitos da Lei Geral de Proteção de Dados Pessoais (LGPD), que estabelece diretrizes obrigatórias para as empresas em relação ao tratamento de dados, a fim de proteger a privacidade dos usuários.
Sem falar que, de acordo com um relatório produzido pela KPMG, os consumidores estão cada vez mais preocupados com a privacidade de suas informações.
Ambos os casos podem aumentar a pressão para que empresas de todos os tipos invistam mais em cibersegurança.
Isso também pode ser um forte indicativo de maiores investimentos em cybertechs — startups do mercado de segurança da informação — que já vêm crescendo, apesar da queda dos últimos anos, conforme podemos ver no gráfico abaixo:
De acordo com o relatório O avanço dos ataques cibernéticos, publicado em 2021 pela plataforma de inovação Distrito, entre as 223 startups brasileiras do setor de cibersegurança, 41 já receberam investimento. Juntas, somam US$ 395M recebidos desde 2013, sendo que destes, US$ 287M foram apenas nos dois últimos anos.
Ou seja, há um maior interesse por parte dos investidores neste mercado, o que pode indicar um futuro promissor para empresas dessa categoria — ainda mais considerando que seus serviços tendem a ser cada vez mais demandados.
Você também pode se interessar por este post: Tendências de negócios para 2023: 5 áreas para ficar de olho no próximo ano
Entrevista com especialista em segurança da informação
A fim de entender o panorama atual da cibersegurança para startups e pequenas e médias empresas, decidimos falar com quem vive isso na prática profissional.
Então, convidamos para uma entrevista Ramon de Souza, que é escritor, jornalista especializado e consultor em segurança da informação.
Ramon passou pela redação dos maiores veículos digitais e impressos de tecnologia do Brasil como repórter e colunista, além de ter co-fundado a The Hack.
Hoje, atua como coordenador de conteúdo do Movimento CyberTech Brasil, e é fundador e CEO da Tietê Security, agência especializada em criação de conteúdo e de treinamentos em segurança da informação.
O resultado desse papo esclarecedor você confere a seguir:
Movile - Qual é o cenário do mercado de cibersegurança hoje no Brasil?
Ramon de Souza - “Trata-se de um cenário bastante complexo, repleto de desafios, mas também de oportunidades. A América Latina é um dos maiores polos mundiais do crime cibernético e, justamente por conta de suas particularidades culturais e tecnológicas, o Brasil se tornou, ao longo dos últimos anos, um dos países que mais sofrem com fraudes financeiras. Temos até mesmo casos de malwares bancários exportados para outras nações.
Além disso, a cibersegurança nunca foi uma prioridade de investimento para os executivos e empreendedores brasileiros, que só passaram a perceber a importância de tal tema durante esse período de transformação digital acelerada que fomos forçados a encarar.
A rápida digitalização aumentou drasticamente a superfície de ataque, demandou a adoção de tecnologias às quais não estávamos acostumados e deu mais força às legislações de proteção de dados pessoais — o que culmina em um maior awareness do usuário final em relação aos seus direitos de privacidade na web.”
Movile - Quais os principais desafios enfrentados pelas empresas de menor / médio porte em relação ao tema?
Ramon de Souza - “Embora as pequenas e médias empresas (PMEs) sejam as que mais migraram para a nuvem durante o período de transformação digital acelerada, elas também são as maiores vítimas do crime cibernético justamente por terem, na maioria das vezes, equipes pequenas e budget limitado para investir em soluções robustas de proteção.
Aliás, a mentalidade costumeira dos integrantes de uma pequena empresa — “Eu não serei atacado, pois não tenho nada de importante” — já é um problema que causa desleixos nos hábitos diários de higiene cibernética.
Com isso, temos empresas com infraestruturas deficientes, uma equipe diminuta e/ou com baixa experiência e falta de programas de conscientização para os colaboradores. Todos esses fatores, juntos, formam o alvo perfeito para o crime cibernético.”
Movile - Se você fosse comparar o cenário no Brasil com outros países do mundo, qual a principal diferença entre eles? E similaridade?
Ramon de Souza - “Seria difícil listar todos. Como citei anteriormente, por exemplo, o Brasil sofre bastante com golpes e fraudes no setor financeiro e bancário; algo natural, se levarmos em conta que nosso sistema bancário é um dos mais evoluídos do mundo (Pix, pagamentos por aproximação etc.).
Por outro lado, existem outros países nos quais a incidência de erros causados por colaboradores caindo em e-mails phishing é maior. Tudo depende de questões estruturais e culturais.”
Movile - Por que a cibersegurança é mais complexa no Brasil do que em outros países?
Ramon de Souza - “Não diria que ela é mais complexa, mas apenas que possui suas peculiaridades e desafios de um país que, historicamente, sempre sofreu com um atraso no mercado tecnológico — algo que podemos remontar aos anos 80 e a Política Nacional de Informática, que sufocou a entrada da computação estrangeira para cá.
É óbvio que tal atraso tecnológico teria eco na forma como enxergamos e lidamos com a segurança de informações armazenadas, processadas e geradas em tais dispositivos.”
Movile - Quais são as frentes de atuação do mercado de cibersegurança e qual delas tem maior necessidade de atenção no país?
Ramon de Souza - “O mercado de segurança da informação é vasto e possui uma quantidade enorme de variantes. Aqui no Brasil, firmaram-se as IDtechs e outras empresas dedicadas a otimizar o processo de autenticação da identidade digital dos usuários, impedindo fraudes em seu nome.”
Movile - O Brasil tem potencial para se destacar neste setor? Se sim, por quê?
Ramon de Souza - “Com certeza. Embora o uso de soluções de segurança de fornecedores globais possa suprir parcialmente essa demanda por proteção contra o crime cibernético, as particularidades que citei anteriormente exigem soluções, digamos, “tropicalizadas” e adaptadas à realidade local.
Para que isso ocorra, contudo, tanto os empreendedores devem entender as dores locais quanto os investidores devem abrir os olhos para tais oportunidades.”
Movile - Quais são os maiores desafios do setor atualmente?
Ramon de Souza - “Falando de um modo geral, a falta de investimento. Por mais que o crime cibernético seja crescente, a superfície de ataques só aumenta e os executivos técnicos têm total ciência disso, ainda é um desafio convencer o board e a alta diretoria sobre a importância de reservar um budget apropriado para tal.
O fator humano também é um tanto importante — a maioria dos incidentes de exposição indevida de dados são causados por falhas humanas, e, mesmo assim, pouco se fala sobre programas de conscientização para educar os colaboradores.
Costuma-se dizer que o ser humano é o elo mais fraco da cadeia de segurança; porém, a verdade é que, por estar no “front” entre o crime cibernético e os mecanismos automatizados de defesa, ele pode se tornar o elo mais forte, desde que adequadamente treinado para isto.”
Movile - Pode especificar algum segmento de tecnologia, como fintech, como sendo um dos que requer mais atenção em relação à cibersegurança? Se sim, por quê?
Ramon de Souza - “Novamente, sim, o setor financeiro pode ser facilmente apontado como o que mais requer atenção no momento em relação à segurança cibernética.
A transformação digital acelerada conseguiu bancarizar milhões de brasileiros; o uso do internet e do mobile banking tornou-se comum com a impossibilidade de ser atendido presencialmente até uma agência e assim por diante.
Não demorou muito para que o crime cibernético entendesse que os novos usuários dessas tecnologias, desacostumados com as próprias, poderiam se tornar alvos fáceis para campanhas de fraudes financeiras e de roubo de identidade digital.”
Movile - Quais setores estão mais avançados em relação a adoção de tecnologias de cibersegurança?
Ramon de Souza - “Paradoxalmente, é o setor bancário — e aqui falamos sobretudo das grandes instituições tradicionais, que naturalmente reservam orçamentos maiores para a área de segurança cibernética e que precisam lidar com as rigorosas normas instituídas pelo Banco Central do Brasil (BCB).
O setor bancário também se destaca como o sendo aquele que mais compartilha informações e inteligências sobre ameaças entre si (threat intelligence), uma prática difícil de ser observada em outros segmentos comerciais.”
Movile - Criei uma empresa. Quando devo começar a investir em segurança da informação e por quê?
Ramon de Souza - “Desde os primórdios. Há um conceito chamado security by design/security by default, que refere-se ao ato de pensar em seu produto ou serviço desde o rascunho com foco na privacidade e na segurança de dados.
Primeiramente, é muito mais fácil garantir uma estrutura mais robusta de segurança caso isso seja prioridade desde o início do que tentar "tapar buracos” posteriormente.
Quando falamos sobre boas práticas ligadas à Lei Geral de Proteção de Dados (LGPD), também é muito mais fácil criar um fluxo de coleta, armazenamento e processamento de dados que respeite os direitos do titular do que gastar tempo fazendo um mapeamento posterior.
Esses são só alguns exemplos do porquê é crucial pensar em segurança da informação desde os primórdios de um projeto.”
Movile - Quais erros não podem ser cometidos ao iniciar o tema dentro de uma empresa?
Ramon de Souza - “Não diria que é exatamente um erro, mas sim uma postura comum que pode tornar sua estratégia de segurança menos eficaz do que ela poderia ser: procurar uma “receita de bolo” para proteger sua empresa.
Cada empreendimento possui suas particularidades, fraquezas e pontos fortes. É crucial realizar uma análise aprofundada para conseguir determinar os riscos mais preocupantes, classificá-los adequadamente e gerar planos para mitigá-los de acordo com a estratégia de continuidade de negócios. Em segurança da informação, não existe algo como “one size fits all”.”
Movile - Quais os desafios de escalar a segurança da informação de acordo com o crescimento da empresa?
Ramon de Souza - “Felizmente, com a ascensão da oferta de produtos e soluções no modelo “as-a-service”, fica mais fácil adaptar e escalonar suas defesas de acordo com o porte da companhia.
Os desafios costumam residir, novamente, na hora de justificar um orçamento maior à alta diretoria — especialmente se até agora a companhia não sofreu nenhum incidente de segurança.
Os executivos do board não costumam entender que, com o crescimento, a superfície de ataque aumenta, o que também exige mais investimentos em segurança.”
Movile - Quais são as principais tendências em cibersegurança para o próximo ano?
Ramon de Souza - “Não é de meu feitio apontar tendências em cibersegurança. Estamos falando de um mercado que muda o tempo todo, sendo mais instável do que a bolsa de valores, para citar um exemplo crasso.
É natural que os ransomwares continuem sendo uma dor de cabeça, que as empresas permaneçam em uma corrida para garantir conformidade com as leis de proteção de dados e assim por diante.
Contudo, um novo tipo de fraude, malware ou estrutura de cibercrime pode nascer amanhã e mudar todo o cenário radicalmente. Previsões são incertas.”
Movile - Existem muitas cibertechs? Se sim, quais as principais dores das empresas elas atacam?
Ramon de Souza - “Eu diria que o número de cybertechs no Brasil é “satisfatório”. O Distrito Market Radar, ferramenta integrante do hub digital do Movimento CyberTech Brasil, monitora mais de 230 startups nacionais de segurança da informação.
Parece bastante, mas, se levarmos em consideração o tamanho de nosso país e o fato de que ele é um polo para o crime cibernético, esse número fica bem atrás daquele apresentado em outros países.”
Segurança da informação: uma necessidade urgente!
Da mesma forma que a tecnologia nos permite criar negócios disruptivos, seu avanço também abre brechas para a ação de pessoas mal-intencionadas.
Por conta disso, investir em cibersegurança para sua startup não é opção, mas sim uma necessidade, a fim de garantir a segurança de seus dados. Aliás, mais do que isso, é indispensável para manter a confiança de parceiros, investidores e clientes.
Quer saber mais sobre o mundo das startups e do mercado digital? Então, assine nossa newsletter para receber em primeira mão todos os nossos conteúdos!