Investimento em segurança desde o início é segredo das empresas unicórnios
Por Márcio Padrão • Editado por Claudio Yuge |
A transformação digital das empresas é um processo positivo, mas como tudo na vida, traz consigo seus problemas. E um dos maiores é o maior potencial para ciberataques. Globalmente, os vazamentos de informações internas e segredos industriais custam, em média, US$ 4,24 milhões para as empresas, segundo a IBM. No Brasil, as tentativas de roubo de contas aumentaram em 93% no primeiro trimestre de 2021. É por isso que o conceito de segurança por design (security by design, em inglês) se faz tão urgente.
- Empresas abertas na pandemia são 452% mais vulneráveis a fraudes
- Empresas devem chegar ao Ano Novo mais seguras, mas ameaças também devem crescer
Neste paradigma, a preocupação com segurança deve existir desde o nascimento da empresa, pois isso cria parâmetros, ferramentas e cultura organizacional que a tornam bastante capaz de resistir aos ataques. Isso também pode proporcionar um ganho de tempo na produção, pois tende a evitar retrabalhos na correção de falhas; e seus produtos e serviços correrão riscos muito menores, pois todas as etapas da produção tiveram a proteção de dados em mente.
Segundo Willian Caprino, diretor de desenvolvimento de novos negócios da empresa de cibersegurança Blaze Information Security, tanto empresas tradicionais quanto startups e unicórnios (companhias que passam a valer mais de US$ 1 bilhão) costumam se beneficiar do conceito. "Historicamente, empresas do ramo financeiro são as mais alinhadas com processos e metodologias de segurança da informação", diz ele. As fintechs estariam, assim, dentro desse grupo, além de alguns bancos tradicionais.
No entanto, o especialista diz que não há um modelo de empreendimento mais ou menos protegido por design. "Depende da cultura e do grau de maturidade da empresa em relação ao tema. Há empresas tradicionais que ainda não tratam a segurança com a devida prioridade, assim como há startups que agem da mesma forma", compara.
Para Caprino, um bom planejamento, a implementação antecipada de soluções e uma boa bateria de testes também ajudam no bolso, pois sai muito mais barato do que corrigir depois que tudo estiver pronto.
Após a LGPD
Muitas empresas se dizem adaptadas à Lei Geral de Proteção de Dados (LGPD), mas pesquisas concluíram que apenas 40% das companhias se assumiram prontas para a nova lei quando passou a vigorar. Sem falar dos vários vazamentos dos últimos meses, que geraram prejuízo médio de R$ 5,8 milhões para as empresas brasileiras.
"Muitas vezes as empresas executam somente o mínimo necessário para 'estarem adequadas' à LGPD. Mas a segurança da informação requer muitas outras ações e atuação constante e permanente. Novas ameaças e vulnerabilidades surgem todos os dias, tanto pela descoberta de falhas em ativos existentes quanto nas modificações que os sistemas sofrem frequentemente", alerta o especialista da Blaze.
O que é preciso fazer?
Na visão de Caprino, os funcionários são uma grande brecha para ataques e vazamentos não por má fé, mas por falta de conhecimento e preparo. Ele defende uma cultura organizacional com treinamento periódico sobre os riscos e atitudes perante os ativos de informação de uma empresa. "É importante também que a empresa não conte somente com esses treinamentos. É necessário que ela tenha controles e ferramentas para detectar e impedir possíveis vazamentos e ataques que tenham os colaboradores como vetor", sugere.
Outra ferramenta importante de prevenção é o pentest, ou teste de intrusão. É um método que avalia a segurança de um sistema nos processos de desenvolvimento de produto a partir da simulação de um ataque. Por meio uso de ferramentas e da experiência técnica do "invasor", o teste consegue identificar as eventuais falhas a serem corrigidas. "Qualquer empresa que trate segurança com seriedade e maturidade irá executar pentests em seus ativos periodicamente", afirma.