As startups tendem a ser criadas por pessoas que têm ideias e querem colocá-las em prática o quanto antes. Normalmente o dinheiro é curto e as despesas muito altas, com investimentos em desenvolvimento de produto, promoção e todo o resto. Ao gerenciar prioridades, os novos empresários frequentemente negligenciam questões relacionadas à segurança da informação. Este texto é sobre os motivos pelos quais não deveria fazer isso.
O banquete de um hacker é o veneno de uma startup
Muitas startups tentam economizar em segurança, confiantes de que uma empresa pequena com recursos limitados não desperta o interesse de cibercriminosos. A verdade é que todos podem ser vítimas de um cibercrime. Primeiro porque muitas ciberameaças são de larga escala, ou seja, seus criadores as disparam para todos os lados tentando atingir a máxima quantidade de alvos possível na esperança de que, ao menos um, gere algum retorno. Segundo porque, por estarem comumente desprotegidas, as startups se tornam alvos atrativos para esses bandidos.
Enquanto as grandes corporações muitas vezes levam meses para se recuperarem de um ciberataque, uma empresa pequena simplesmente pode não sobreviver a um. Em 2014, ações cibercriminosas hostis provocaram o fechamento de uma startup chamada Code Spaces, um provedor de hospedagem com ferramentas para gerenciamento conjunto de projetos. Os bandidos acessaram os recursos da empresa na nuvem e destruíram uma porção considerável dos dados de seus clientes. Os donos do serviço recuperaram o máximo que conseguiram, mas não foram capazes de voltar a operar normalmente.
Erros que podem custar o seu negócio
Para proteger adequadamente sua startup, considerando seu orçamento limitado, pode ser uma boa ideia projetar um modelo de ameaças antes de lançar seu negócio – para descobrir quais os riscos relevantes para a sua empresa. Aqui, vamos ajudá-lo falando sobre os erros comuns de muitos empreendedores de primeira viagem.
1. Falta de conhecimento sobre leis de processamento e armazenamento de dados pessoais
Muitos governos tentam garantir a segurança de seus cidadãos. A Europa tem o GDPR, nos Estados Unidos existem diversos atos para diferentes setores da indústria e estados, e no Brasil, a LGPD. Todas essas leis são válidas, independentemente se as tenha lido ou não.
A punição para violações de requisitos legais relacionados pode variar, porém, uma negligência provavelmente vai lhe custar uma boa quantia: pelo menos uma multa – e uma bem grande. No pior dos casos, terá que suspender as operações até que esteja em conformidade com as leis relevantes.
Outro detalhe mais importante: às vezes, essas leis possuem uma cobertura mais ampla do que imagina. Por exemplo, o GDPR se aplica a todas as empresas que lidam com dados de cidadãos europeus, até mesmo aquelas da Rússia ou dos Estados Unidos. Assim, a melhor política é estudar tanto as suas regulamentações domésticas quanto as de seus parceiros e clientes.
2. Falta de proteção em recursos na nuvem
Muitas startups dependem de serviços de nuvem públicos, como Amazon AWS ou Google Cloud, mas nem todas utilizam configurações de segurança adequadas para esses espaços de armazenamento. Em muitos casos, containers com dados de clientes ou códigos de aplicativos acabam protegidos por nada além de senhas fracas – e documentos corporativos internos podem ser acessados com links diretos além de serem visíveis em mecanismos de pesquisa. Como resultado, qualquer um pode colocar as mãos em dados importantes.
Na busca por manter as coisas simples, muitas vezes as startups deixam documentos importantes disponíveis para qualquer pessoa no Google Docs para sempre – simplesmente porque esquecem de restringir esse acesso.
3. Despreparo contra os ataques DDoS
O ataque DDoS é uma maneira eficiente de atingir um recurso de Internet. Na darknet, esses serviços são relativamente baratos e, portanto, bastante acessíveis tanto para concorrentes quanto para cibercriminosos – que precisam deles para disfarçar tentativas hostis mais sofisticadas.
Em 2016, um serviço de carteira virtual de criptomoedas chamado Coinkite foi forçado a fechar por conta dos contínuos ataques DDoS sofridos. Seus desenvolvedores contam que não tiveram um momento de paz desde o lançamento do serviço. Após aguentar por muitos anos, a empresa desistiu e mudou o foco do seu negócio para carteiras de hardware.
4. Falta de conhecimento dos colaboradores
As pessoas frequentemente são o elo mais fraco de qualquer empresa. Os criminosos sabem muito bem disso e utilizam truques de engenharia social para invadir a rede corporativa ou pescar informações confidenciais.
A falta de conhecimento é duplamente perigosa para empresas que empregam freelancers, uma vez que controlar os dispositivos e redes utilizados para trabalhar pode ser um verdadeiro desafio. Dessa forma, é muito importante motivar e guiar todos os colaboradores para uma atitude focada em segurança.
Como sua startup pode sobreviver?
Para não ficar exposto aos cibercriminosos e permanecer em atividade, reflita adequadamente sobre cibersegurança na hora de criar seu plano de negócios:
- Determine quais recursos precisam de proteção primeiro e quais ferramentas de segurança você é capaz de pagar durante as fases iniciais. Na verdade, muitas medidas não envolverão muitos custos.
- Utilize senhas fortes para proteger suas contas e dispositivos corporativos. Nossa solução Kaspersky Small Office Security inclui a ferramenta Kaspersky Password Manager para gerar senhas e armazená-las dentro de containers criptografados. Não ignore a autenticação de dois fatores.
- Revise rigorosamente as leis de armazenamento de dados dos países onde pretende operar, e garanta que o fluxo de trabalho relacionado com o processamento e o armazenamento de informações pessoais da sua empresa é compatível com essas regulamentações. Se possível, consulte advogados sobre as armadilhas e os obstáculos de cada mercado em questão.
- Fique atento à segurança de softwares e serviços de terceiros. Quão protegido está o sistema de desenvolvimento colaborativo que você utiliza? Seu provedor de hospedagem é seguro? Há vulnerabilidades conhecidas nas bibliotecas open-source que acessa? Essas questões devem ser do seu interesse – tanto quanto as propriedades do consumidor do seu produto final, pelo menos.
- Desenvolva o conhecimento dos seus colaboradores sobre cibersegurança e incentive-os a pesquisar mais sobre o assunto. Se sua empresa não possui profissionais de cibersegurança (algo comum nas startups), encontre alguém com pelo menos um pouco de interesse no assunto que possa começar seguindo nosso blog.
- Não esqueça da proteção da infraestrutura de computadores. Temos uma solução para novas empresas com orçamentos limitados que vai ajudar a automatizar a supervisão de segurança sobre suas estações de trabalho e servidores além de proteger pagamentos feitos online. Nenhuma habilidade de administração é necessária.