Novos negócios podem ser tão ou mais competitivos que os grandes na proteção de dados
Startups precisam não apenas ter controles de segurança sólidos, mas também serem capazes de demonstrá-los a clientes em potencial
André Lopes
Publicado em 2 de dezembro de 2022 às 09h30.
Última atualização em 2 de janeiro de 2023 às 16h26.
*Por Fernando de Falchi
Muitas startups acham difícil encontrar o equilíbrio certo entre atingir suas metas de negócios (desenvolvimento rápido e ágil, entrar no mercado o mais rápido possível e assim por diante) com segurança cibernética. Isso é especialmente verdadeiro quando os fundadores e empreendedores sentem que a cibersegurança é uma barreira; algo que impõe regras e exige investimento para pouco benefício visível. No entanto, no mercado atual preocupado com a segurança cibernética, mesmo as startups ou novos empreendimentos em estágio inicial são obrigados a demonstrar seu compromisso com proteção de dados, de usuários e de rede.
Observamos que um grande erro que as startups têm cometido em relação à segurança cibernética é preocuparem-se tarde demais com ela e não integrar práticas seguras em sua organização desde o início. Muitas vezes, as startups têm vários motivos para colocar a segurança em segundo plano, cada um dos quais parece válido para eles naquele momento específico, mas pode não ser tão válido a longo prazo.
Por exemplo, muitas startups ou novos empreendimentos (e as PMEs em geral) acreditam que são muito pequenos para serem notados pelos atacantes e, portanto, não precisam seguir as melhores práticas de cibersegurança. No entanto, a experiência recente mostrou que uma pequena empresa com um grande cliente representa um grande alvo para os cibercriminosos. Além disso, muitos ataques são causados por bots ofensivos que não fazem distinção entre grandes e pequenas organizações, atingindo qualquer negócio em seu radar.
É claro que nem todos os requisitos de segurança fazem sentido quando a startup é um grupo de pessoas espalhadas pelo mundo trabalhando em laptops; mas, a situação pode rapidamente ficar fora de controle e, antes que percebam, há 30 pessoas na empresa com acesso administrativo e direitos a todos os sistemas em uso criando uma ampla e desnecessária lista de permissões.
Conforme mencionado acima, no cenário atual de garantia de segurança do fornecedor, as startups precisam não apenas ter controles de segurança sólidos, mas também serem capazes de demonstrá-los a clientes em potencial, às vezes até antes de executar sua primeira prova de conceito no ambiente do cliente. As startups devem, portanto, ter como objetivo incorporar controles de segurança por design e por padrão em suas organizações.
E é muito mais fácil começar implementando os controles certos do que os corrigir mais adiante. As startups que criam segurança na organização desde o início estão perfeitamente posicionadas para tornar a proteção de dados uma parte essencial de seus negócios do princípio, aumentando suas medidas de segurança à medida que a empresa cresce e, consequentemente, tornando-se mais competitivas.
Orçamento limitado
Para garantir a segurança máxima dos dados de seus usuários e clientes, a partir de um orçamento limitado, é priorizar as áreas e as tecnologias que melhor as protegerão, baseando-se no conhecimento da combinação específica de ameaças, riscos e expectativas de negócios ou clientes que a startup enfrenta. Isso é particularmente importante para empreendimentos com orçamentos limitados. Afinal, eles não têm recursos para desperdiçar com medidas de segurança que simplesmente não são relevantes para seus negócios.
O próximo passo é vincular a segurança ao roteiro de negócios. Nem todas as medidas de segurança são relevantes se ainda não estiverem vendendo para os clientes. As startups devem estar preparadas para priorizar as atividades de segurança de acordo com onde a empresa está agora e para onde está indo no próximo ano a um ano e meio.
Identifique ganhos rápidos que são fáceis de implementar. Comece com a segurança que mantém o ambiente de trabalho seguro. Implemente controles de acesso, aplique o princípio do menor privilégio (um erro comum é dar a todos acesso a tudo no início) e desenvolva em ambientes segregados.
Planeje também construir um modelo de nuvem seguro, pois há diversas tecnologias e serviços em ambientes de nuvem que ficaram mais baratos para as empresas desenvolverem ambientes digitais protegidos.
Proteger os ativos na nuvem
Proteger o domínio do seu negócio precisa ser tão natural quanto trancar a porta e ligar o alarme ao sair. Isso costumava ser a base da segurança, certo? No mundo digital de alto risco de hoje, essa segurança material não é suficiente. A entrada física em suas instalações não é sua maior preocupação. Em vez disso, os vetores de ameaças se manifestam online por meio de conexões de internet não gerenciadas e onipresentes e se expandem por meio das nuvens que você usa para aplicativos, cargas de trabalho e armazenamento. E cada nuvem tem vários pontos ou portas de entrada e saída.
Assim, com sua empresa entrando na nuvem, você terá significativamente mais portas metafóricas pelas quais um intruso pode passar, porque cada fornecedor de nuvem terá várias maneiras de entrar e sair. E o desafio é cada vez maior; em um relatório global recente de segurança na nuvem, 57% dos entrevistados disseram que esperam executar mais da metade de suas cargas de trabalho na nuvem nos próximos 12 a 18 meses e, desses, cerca de 76% responderam que estavam usando dois ou mais provedores de nuvem (acima de 62% em 2021).
Continuando com a analogia de uma porta, composta por um conjunto de componentes que se encaixam e que fazem parte de toda a estrutura – pense na porta, suas dobradiças, maçanetas, fechaduras, ferrolhos, chaves, etc e que sem um desses elementos, a porta não funciona totalmente –, o todo é maior que a soma de suas partes. A segurança na nuvem é da mesma forma.
Assim como uma porta totalmente operacional, cada elemento da estratégia de segurança das startups deve se encaixar e funcionar em uníssono com outros elementos. O empreendedor pode imaginar ter suas portas e alarme montados por quatro ou cinco fornecedores diferentes, cada um com planilhas de trabalho separadas? Talvez o custo seja bom, mas e se algo der errado? Para quem deveremos ligar e quem pode dizer que um fornecedor não culpará o outro? O que acontece se o alarme soar toda vez que a porta for aberta legitimamente? (O que chamamos de falsos positivos). A startup pode se deparar com muitos problemas que precisam de seu tempo e esforço para corrigi-los.
Como na maioria das coisas: uma peça sem as outras não é forte o suficiente. Aplique esse princípio ao seu cenário de segurança em nuvem, onde os ataques mal-intencionados estão prosperando e dobrando ano após ano, ficando mais sofisticados com vetores de ameaças avançados. Uma pesquisa global sobre o cenário de ataques e ameaças apontou que os ataques globais aumentaram 28% no terceiro trimestre de 2022 em comparação com o mesmo período de 2021. A média de ataques semanais por organização em todo o mundo atingiu mais de 1.130 ataques. Em relação às estatísticas sobre o Brasil, a pesquisa mostrou que, em média, as organizações no país foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021.
Diante disso, outro ponto fundamental a ser observado é de que a “porta” deverá ser prontamente aberta por pessoas que precisam entrar. A porta não pode atrapalhar a entrada ou a saída da equipe certa - deve ser fácil e não diminuir o ritmo de mobilidade. Daí a atentar para a política de permissões e acessos a dados, aplicativos e sistemas da empresa.
Soma-se às permissões, a necessidade de priorizar o treinamento dos colaboradores sobre as responsabilidades de segurança de todos. Incutir uma cultura de segurança na organização é relativamente barato e economizará dinheiro no futuro. Além disso, os colaboradores da startup investem na empresa, então é um bom momento para fazer com que eles a mantenham protegida.
Entender qual segurança a empresa tem para a nuvem e o que ela precisa é uma função fundamental para sua equipe. A confiança e a reputação de uma empresa dependem em grande parte de obter a postura correta de segurança. Isso, sem dúvida,
ajudará na prevenção, diminuirá as lacunas e aumentará a velocidade de detecção. Além disso, também traz facilidade de gerenciamento para crescentes ativos de nuvem e um retorno mais rápido do investimento.
* Fernando de Falchi, gerente de Engenharia de Segurança e Evangelista da Check Point Software Brasil.
*Por Fernando de Falchi
Muitas startups acham difícil encontrar o equilíbrio certo entre atingir suas metas de negócios (desenvolvimento rápido e ágil, entrar no mercado o mais rápido possível e assim por diante) com segurança cibernética. Isso é especialmente verdadeiro quando os fundadores e empreendedores sentem que a cibersegurança é uma barreira; algo que impõe regras e exige investimento para pouco benefício visível. No entanto, no mercado atual preocupado com a segurança cibernética, mesmo as startups ou novos empreendimentos em estágio inicial são obrigados a demonstrar seu compromisso com proteção de dados, de usuários e de rede.
Observamos que um grande erro que as startups têm cometido em relação à segurança cibernética é preocuparem-se tarde demais com ela e não integrar práticas seguras em sua organização desde o início. Muitas vezes, as startups têm vários motivos para colocar a segurança em segundo plano, cada um dos quais parece válido para eles naquele momento específico, mas pode não ser tão válido a longo prazo.
Por exemplo, muitas startups ou novos empreendimentos (e as PMEs em geral) acreditam que são muito pequenos para serem notados pelos atacantes e, portanto, não precisam seguir as melhores práticas de cibersegurança. No entanto, a experiência recente mostrou que uma pequena empresa com um grande cliente representa um grande alvo para os cibercriminosos. Além disso, muitos ataques são causados por bots ofensivos que não fazem distinção entre grandes e pequenas organizações, atingindo qualquer negócio em seu radar.
É claro que nem todos os requisitos de segurança fazem sentido quando a startup é um grupo de pessoas espalhadas pelo mundo trabalhando em laptops; mas, a situação pode rapidamente ficar fora de controle e, antes que percebam, há 30 pessoas na empresa com acesso administrativo e direitos a todos os sistemas em uso criando uma ampla e desnecessária lista de permissões.
Conforme mencionado acima, no cenário atual de garantia de segurança do fornecedor, as startups precisam não apenas ter controles de segurança sólidos, mas também serem capazes de demonstrá-los a clientes em potencial, às vezes até antes de executar sua primeira prova de conceito no ambiente do cliente. As startups devem, portanto, ter como objetivo incorporar controles de segurança por design e por padrão em suas organizações.
E é muito mais fácil começar implementando os controles certos do que os corrigir mais adiante. As startups que criam segurança na organização desde o início estão perfeitamente posicionadas para tornar a proteção de dados uma parte essencial de seus negócios do princípio, aumentando suas medidas de segurança à medida que a empresa cresce e, consequentemente, tornando-se mais competitivas.
Orçamento limitado
Para garantir a segurança máxima dos dados de seus usuários e clientes, a partir de um orçamento limitado, é priorizar as áreas e as tecnologias que melhor as protegerão, baseando-se no conhecimento da combinação específica de ameaças, riscos e expectativas de negócios ou clientes que a startup enfrenta. Isso é particularmente importante para empreendimentos com orçamentos limitados. Afinal, eles não têm recursos para desperdiçar com medidas de segurança que simplesmente não são relevantes para seus negócios.
O próximo passo é vincular a segurança ao roteiro de negócios. Nem todas as medidas de segurança são relevantes se ainda não estiverem vendendo para os clientes. As startups devem estar preparadas para priorizar as atividades de segurança de acordo com onde a empresa está agora e para onde está indo no próximo ano a um ano e meio.
Identifique ganhos rápidos que são fáceis de implementar. Comece com a segurança que mantém o ambiente de trabalho seguro. Implemente controles de acesso, aplique o princípio do menor privilégio (um erro comum é dar a todos acesso a tudo no início) e desenvolva em ambientes segregados.
Planeje também construir um modelo de nuvem seguro, pois há diversas tecnologias e serviços em ambientes de nuvem que ficaram mais baratos para as empresas desenvolverem ambientes digitais protegidos.
Proteger os ativos na nuvem
Proteger o domínio do seu negócio precisa ser tão natural quanto trancar a porta e ligar o alarme ao sair. Isso costumava ser a base da segurança, certo? No mundo digital de alto risco de hoje, essa segurança material não é suficiente. A entrada física em suas instalações não é sua maior preocupação. Em vez disso, os vetores de ameaças se manifestam online por meio de conexões de internet não gerenciadas e onipresentes e se expandem por meio das nuvens que você usa para aplicativos, cargas de trabalho e armazenamento. E cada nuvem tem vários pontos ou portas de entrada e saída.
Assim, com sua empresa entrando na nuvem, você terá significativamente mais portas metafóricas pelas quais um intruso pode passar, porque cada fornecedor de nuvem terá várias maneiras de entrar e sair. E o desafio é cada vez maior; em um relatório global recente de segurança na nuvem, 57% dos entrevistados disseram que esperam executar mais da metade de suas cargas de trabalho na nuvem nos próximos 12 a 18 meses e, desses, cerca de 76% responderam que estavam usando dois ou mais provedores de nuvem (acima de 62% em 2021).
Continuando com a analogia de uma porta, composta por um conjunto de componentes que se encaixam e que fazem parte de toda a estrutura – pense na porta, suas dobradiças, maçanetas, fechaduras, ferrolhos, chaves, etc e que sem um desses elementos, a porta não funciona totalmente –, o todo é maior que a soma de suas partes. A segurança na nuvem é da mesma forma.
Assim como uma porta totalmente operacional, cada elemento da estratégia de segurança das startups deve se encaixar e funcionar em uníssono com outros elementos. O empreendedor pode imaginar ter suas portas e alarme montados por quatro ou cinco fornecedores diferentes, cada um com planilhas de trabalho separadas? Talvez o custo seja bom, mas e se algo der errado? Para quem deveremos ligar e quem pode dizer que um fornecedor não culpará o outro? O que acontece se o alarme soar toda vez que a porta for aberta legitimamente? (O que chamamos de falsos positivos). A startup pode se deparar com muitos problemas que precisam de seu tempo e esforço para corrigi-los.
Como na maioria das coisas: uma peça sem as outras não é forte o suficiente. Aplique esse princípio ao seu cenário de segurança em nuvem, onde os ataques mal-intencionados estão prosperando e dobrando ano após ano, ficando mais sofisticados com vetores de ameaças avançados. Uma pesquisa global sobre o cenário de ataques e ameaças apontou que os ataques globais aumentaram 28% no terceiro trimestre de 2022 em comparação com o mesmo período de 2021. A média de ataques semanais por organização em todo o mundo atingiu mais de 1.130 ataques. Em relação às estatísticas sobre o Brasil, a pesquisa mostrou que, em média, as organizações no país foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021.
Diante disso, outro ponto fundamental a ser observado é de que a “porta” deverá ser prontamente aberta por pessoas que precisam entrar. A porta não pode atrapalhar a entrada ou a saída da equipe certa - deve ser fácil e não diminuir o ritmo de mobilidade. Daí a atentar para a política de permissões e acessos a dados, aplicativos e sistemas da empresa.
Soma-se às permissões, a necessidade de priorizar o treinamento dos colaboradores sobre as responsabilidades de segurança de todos. Incutir uma cultura de segurança na organização é relativamente barato e economizará dinheiro no futuro. Além disso, os colaboradores da startup investem na empresa, então é um bom momento para fazer com que eles a mantenham protegida.
Entender qual segurança a empresa tem para a nuvem e o que ela precisa é uma função fundamental para sua equipe. A confiança e a reputação de uma empresa dependem em grande parte de obter a postura correta de segurança. Isso, sem dúvida,
ajudará na prevenção, diminuirá as lacunas e aumentará a velocidade de detecção. Além disso, também traz facilidade de gerenciamento para crescentes ativos de nuvem e um retorno mais rápido do investimento.
* Fernando de Falchi, gerente de Engenharia de Segurança e Evangelista da Check Point Software Brasil.