A falta de atenção à segurança da informação pode ser um tiro no pé para o negócio de uma startup. Muitas destas empresas postergam ou não tomam o devido cuidado nesta área, e isto acaba sendo um dos principais riscos à sua continuidade no mercado.
Alguns casos emblemáticos dão exemplo disso: quem não se lembra da Code Spaces, startup que atuava como provedor de hospedagem e de recursos para gerenciamento conjunto de projetos, que há alguns anos fechou as portas após ter seus sistemas em nuvem atacados por hackers, o que gerou vazamento de dados de seus clientes? O prejuízo, tanto financeiro, quanto de imagem, foi tão grande que a companhia não conseguiu se reerguer.
Mais recentemente, o Wannacry, um dos ransomware mais famosos do mundo arrastou diversas startups em sua esteira de ataques destrutivos. Embora os relatórios divulgados na mídia sobre este ataque não identifiquem o número exato de quantos empreendimentos desta linha foram lesados, todos mencionam prejuízos significativos às empresas atingidas.
Por que as startups estão a perigo, quando o assunto é segurança da informação? Porque, muitas vezes, gestores destes negócios confiam que, por serem pequenos ou iniciantes, estão imunes à mira dos cibercriminosos.
Esta visão é errônea e pode trazer riscos. Mesmo a menor startup pode, sim, despertar o interesse do cibercrime, por diversas razões:
– Muitos ataques são de larga escala, sendo disparados para atingir a máxima quantidade possível de alvos. Basta que encontrem uma brechinha de segurança para que alcancem seu objetivo, trazendo danos a companhias de todos os portes
– A visão de que não têm dados suficientemente interessantes para serem alvo de ataques é exatamente o que pode colocar as startups em risco, já que esta postura as leva a não investir em segurança da informação, deixando-as desprotegidas e vulneráveis às ameaças virtuais
– Também por não dar muita atenção à segurança da informação, diversas startups não têm conhecimento sobre leis, regras e procedimentos ligados ao armazenamento de dados. Isso pode ser bem arriscado, já que, além de poder abrir espaço para o cibercrime, também tende a deixar os empreendimentos à mercê de penalizações à medida em que novas legislações entrarem em vigor – como a LGPD, em agosto de 2020
– Outra razão comum da exposição das startups às ciberameaças é a falta de segurança no uso de serviços em nuvem. Muitas destas companhias dependem de clouds públicas, como Amazon AWS ou Google Cloud, mas esquecem de usar as configurações de segurança adequadas para estes espaços de armazenamento
– Ainda falando do quesito acima, vale lembrar que todos os fornecedores de serviços em nuvem oferecem recursos de segurança, mas cabe às empresas usuárias conferir se estão sendo utilizados da forma correta, além de gerir se a oferta do provedor é suficiente para proteger todas as pontas de suas operações
– Mais um lembrete do que pode ser razão de ataque cibernético para startups cujos serviços funcionam em nuvem: em muitas situações, o risco está nas coisas mais simples, como, por exemplo, o uso de senhas fracas para acesso a containers com dados de clientes ou códigos de aplicativos
– A falta de cuidado com políticas de acesso a documentos corporativos internos também é um motivador de ataques a startups. Se estes materiais vazarem, poderão trazer muita dor de cabeça aos empreendedores. E lembre-se: deixar conteúdos em plataformas de trabalho colaborativo, como por exemplo o Google Drive, requer foco na gestão de segurança, pois pode abrir uma porta fácil para invasores mal-intencionados
Estas são algumas das razões pelas quais as startups correm risco de estarem expostas a ciberataques. A lista é longa, e há ainda outras questões a serem levadas em conta, mas trataremos disso em próximos posts, que você poderá acompanhar aqui pelo blog.
Desde já, fica o alerta: segurança da informação é, sim, item de máxima importância para as startups, e o desconhecimento neste campo pode resultar em sérios danos. Não se exponha ao risco! Busque soluções adequadas ao seu modelo de negócio, seu momento no mercado e seu budget, e alinhe seus processos, dados e redes às melhores práticas de privacidade, cibersecurity e conformidade. Seu negócio agradece.