Startups focam esforços em cibersegurança

Os crimes virtuais nunca estiveram tão em pauta nas organizações como hoje. De cada 10 empresas no Brasil, 8 afirmam que investirão em segurança cibernética, de acordo com a pesquisa “Global Digital Trust Insights Survey”, ou, em termos percentuais, a demanda representa 80%. Muito dessa mentalidade deriva da grande exposição digital e das obrigações impostas pela Lei Geral de Proteção de Dados (LGPD), que exigem que as corporações adotem uma nova postura frente ao uso de dados pessoais e sensíveis dos titulares de dados. Com startups não é diferente. Todas precisam estar adequadas à Legislação e garantir medidas de segurança no tratamento dos dados. “Quando uma startup está adequada à LGPD, ela tem mais chances de se manter ativa, porque ganha a confiança de seus clientes e dos investidores”, disse Fabrizio Alves, CEO da Vantix, empresa de soluções para segurança, proteção de dados e privacidade. Porém, muitas startups ainda estão longe de atenderem aos requisitos legais e terem uma cultura forte de segurança cibernética. Preocupadas em gerar receita e adquirir clientes, deixam o investimento em segundo plano. Outras acreditam que a nuvem (onde hospedam suas aplicações e serviços), já tratam os controles de segurança necessários (o que é uma falsa premissa); e num outro caso, têm dificuldade em entender os requisitos de segurança e, por isso, tratam do mais básico somente.

Fabrizio, como as startups brasileiras têm tratado do assunto cibersegurança?

A cibersegurança ganhou destaque e relevância no mundo e em todos os tamanhos de empresas nos últimos 2 anos.

Nas startups, quase sempre, montadas “a partir de plataformas digitais”, o tema sempre foi tratado com mais naturalidade e, em geral, já havia essa preocupação desde o nascimento ou logo nos primeiros estágios do negócio.

Outro ponto chave na liderança das startups no que tange ao tema, é que para aplicarem para as rodadas de investimento, esse é um dos aspectos que passa a ser cada vez mais considerado pelos investidores.

Existem diferenças das startups brasileiras em comparação com outras de outras partes do mundo?

Isso varia de acordo com o mercado alvo e os objetivos de cada empresa, de acordo com o país de origem da startup ou mesmo o local onde ela pretende se estabelecer, ou prestar serviços.

Note-se que alguns países têm políticas públicas bastante maduras nesse aspecto, com apoio e fomento para apoiar a cibersegurança desde a concepção. Outros apenas exigências e regulações.

Tomando como exemplo Israel (de onde trazemos grande parte da tecnologia que provemos) a preocupação com cibersegurança é contínua, até porque o tema da guerra é uma constante por lá. Interessante dizer que Israel, por exemplo, tem mais empresas de cibersegurança listadas na Nasdaq, do que os demais países juntos.

Já no Brasil, quase sempre a preocupação está mais alinhada à própria maturidade do setor ou exigências regulatórias; como o das fintechs e startups de seguros. Em outras verticais o tema tem menor relevância e quase sempre deriva de preocupações focadas nas exigências regulatórias principalmente.

No que essas startups pecam quando o assunto é a cibersegurança?

Geralmente, nos primeiros estágios principalmente dessas empresas, a cibersegurança envolve apenas o mínimo necessário; além do fato que a maturidade no assunto dos times internos é pequena também, ampliando o abismo entre a necessidade real e a percebida.

Quais setores (em que estão essas startups) investem mais em sua cibersegurança?

Há uma forte tendência de investir em tecnologias ligadas aos temas “evidenciados” pela mídia, como os ransomwares. Daí derivam tecnologias modernas ligadas à segurança dos endpoints, conceitos de confiança zero (zero trust) e aqueles componentes essenciais para proteger aquilo que é considerado como essencial: e-mail, navegação, sites, etc.

Isto pode mudar?

Isto pode mudar em alguns cenários onde a prioridade é a proteção de códigos de software ou o tráfego de conexão de APIs, o que leva as startups a investirem mais em outras tecnologias que permitem um desenvolvimento mais rápido e seguro, validando assim que o produto final seja entregue com mais segurança.

Qual a importância da LGPD para essas organizações?

A cibersegurança vem finalmente tomando o seu lugar no centro dos palcos dos negócios mundiais e isso vem ocorrendo desde 2021, muito por conta dos processos de adequação à LGPD que se iniciaram em 2020 na grande maioria.

Dessa adequação à lei, vieram muitos tipos de controles de segurança e uma preocupação em manter isso com processos, pessoas e tecnologia adequada.

Elas vêm se adequando à Lei?

Sim, o primeiro passo foi a identificação de processos, dos tipos de dados pessoais com as quais as empresas lidam e onde estavam os gaps de tecnologia/segurança nesses processos. Na sequência, ocorreu (e ainda vem ocorrendo), a implementação de diversos controles essenciais para a categorização, a prevenção de vazamentos, a preservação e a proteção propriamente ditas dos dados.

Nas startups, a vantagem é que muitos desses controles podem ser adotados de forma integrada e sem ter que se preocupar com sistemas legados (que não existem pra elas na maioria).

Falta compreensão de como os ciberataques ocorrem?

Há um gap de profissionais qualificados em cibersegurança e precisamos desmistificar muitas questões a eles, por exemplo: o grau intrínseco de segurança de um provedor de nuvem e a diferença ou qual é efetivamente o risco que se mitiga com alguns tipos de solução, entre outras.

Não é incomum nos depararmos com profissionais que assumem que tem as ferramentas certas. Mas a pergunta fundamental, que colocamos pra eles não é sobre que controles existem, mas como eles podem ser explorados e quais seriam os impactos.

Então, o que oferecemos nesses casos é uma forma de validar (e provar) a segurança desses ambientes. Com isso eles passam a ter visibilidade “prévia” das potenciais “brechas” no seu ambiente e o nível de eficácia dos seus controles atuais.

Até mesmo para os CEOs dessas empresas?

Sim, e precisamos nos preocupar em como transmitir a mensagem sobre a importância da cibersegurança em uma linguagem que seja aceita e relevante ao negócio.

Hoje, adotamos um sistema de scores que mostra de forma muito simplificada qual a nota de segurança (por assim dizer) que uma determinada empresa possui.

A partir disso, fica fácil entender quais são os pontos de atenção imediata para revisão de configurações, eventual substituição de tecnologias existentes ou mesmo onde novos investimentos são necessários.

Os maiores desafios dessas startups passarão por onde em 2023 quando o assunto é a cibersegurança?

Utilizaria previsões apontadas pela Forbes e outras organizações para dizer que o cibercrime e tudo que envolve este tema continuará sendo um dos maiores desafios para qualquer organização. Nada menos que uma ameaça que pode causar US$10,5 trilhões anualmente até 2025.

Hoje são 4 grandes desafios:

1) Ameaças Emergentes – Hoje, os ransomwares são 30% de todos os ciberataques. Mas as ameaças são emergentes e cada vez mais sofisticadas, então precisamos repensar em como lidar com essa extorsão digital focalizada.

2) Mundo Híbrido – Trabalho remoto, nuvem, Internet das Coisas, etc. A adoção de mundos cada vez mais digitais (e inclua-se o metaverso nisso tudo), mudaram o perímetro e as possibilidades do que precisamos proteger, causando uma mudança na maneira como pensamos sobre confiança.

3) Escassez de Talentos – o mundo está interconectado; são muitas disciplinas, muitas ferramentas, processos a serem criados e seguidos para se elevar os níveis de maturidade.

Então a IA terá papel preponderante no ataque e na defesa. Precisamos adotar parceiros experientes e ferramentas que nos permitam enxergar mais facilmente; Transformando o caos em visibilidade, provando a segurança continuamente para prover a resiliência dos nossos negócios em especial.

4) Cadeia de Suprimentos e Fornecedores: Eventos de terceiros na cadeia de fornecedores estão causando 13x mais danos e aumentando significativamente a complexidade para dar suporte às operações. Identificar os parceiros seguros é essencial nos processos de Compliance e precisa ser automatizado ou através de modelos simples de enxergar, como os scores de segurança.