Trabalhar com inovação aberta é bom e a gente ama. Normalmente, a startup entra com uma ideia ou solução, e a grande empresa entra com o espaço, análise e recursos para financiar um piloto antes da implementação. Juntas, as duas empresas criam um produto ou serviço tecnológico que pode promover melhorias para empresa – e ampliar receita e portfólio da startup.
Mas a relação precisa ser segura para todas as partes.
À medida que as startups se envolvem em parcerias estratégicas com grandes empresas, a segurança de seus ativos digitais e dados torna-se uma prioridade. Um sistema inseguro ou que não atenda às normas da LGPD compromete a confidencialidade de informações e pode ser um empecilho para a continuidade dos negócios.
Para quem está começando, escolher uma estratégia eficiente de segurança digital pode representar um desafio, principalmente para startups com um orçamento modesto. Mas, de acordo com nosso entrevistado, Endrigo Antonini, gerente em cibersegurança da Raízen, os negócios já devem nascer com um plano de respostas a incidentes, desde o dia 1.
Para conhecer as melhores práticas de cibersegurança para startups e como o Pulse auxilia nesse quesito, continue lendo e fique ligado nas dicas do Endrigo. ✍🏽
Quais são os principais desafios de cibersegurança enfrentados pelas startups?
Antes de mais nada, é preciso considerar o contexto. Anos atrás, negociações envolviam muita papelada, reconhecimento de firma, cópias e mais cópias que podiam acabar em mãos erradas. No caso de golpes, alguns chegavam por ligações suspeitas via telemarketing ou pela clonagem física de cartões de crédito.
Com o processo de digitalização, em parte acelerado pela pandemia, golpes via redes sociais infelizmente se tornaram cada vez mais comuns. Alguns exemplos são aquelas mensagens suspeitas pedindo PIX, e-mails se passando por bancos, pedidos de confirmação de senhas e outros dados.
Se os desenvolvedores de redes sociais recomendam fortemente a utilização de autenticação de dois fatores para pessoas físicas, imagine o quão imprescindível é ter uma política de segurança sólida para o seu negócio.
Mas, ao se depararem com os valores dos softwares de cibersegurança ou treinamentos personalizados, muitas startups deixam o assunto para outro momento. Isso porque um dos principais desafios para essas empresas é lidar com o orçamento restrito, portanto, acabam abrindo mão do investimento em ferramentas de proteção.
Nesse caso, Antonini diz que existem alternativas. Se as soluções surgem dos momentos de necessidade, por que não formular produtos de cibersegurança internamente? Também é possível direcionar fundos para a capacitação intelectual do próprio time nessa área.
O especialista também aponta para a importância da cultura de segurança. Afinal, se a equipe não está conscientizada e treinada para lidar com situações de risco, erros humanos podem acontecer, informações podem ser vazadas e negócios podem ser comprometidos. O mesmo vale para seus fornecedores:
“A segurança está seguindo um pouco o modus operandi do ESG, estamos entrando na Governança olhando para parceiros e fornecedores e perguntando: como você analisa segurança cibernética? Você tem uma política de segurança? Você tem um processo de resposta-incidente e testa ele, eventualmente? Você tem backup da sua solução?”
Por falar em negócios comprometidos, muitas vezes o clichê funciona: a pressa é inimiga da perfeição, e da segurança. A vontade de apresentar uma solução para investidores e disponibilizar o produto para os clientes pode deixar seu negócio vulnerável. Por isso, quem passa pelo Pulse recebe orientação para pensar na cibersegurança desde o rascunho. Essa não é só mais uma etapa, mas, sim, uma garantia de estabilidade e confiabilidade diante do mercado.
Se tratando de confiabilidade e, principalmente, estar dentro da lei, o cumprimento regulatório e o conhecimento da LGPD é imprescindível para a privacidade e segurança da informação. Se dados protegidos vazam, a empresa não somente pode ser multada, mas está cometendo um crime.
Quais são as melhores práticas em termos de cibersegurança para startups?
Se antes a segurança era vista só como mais uma etapa a ser pensada no final de um projeto, nos últimos anos, o comportamento vem mudando.
“A gente tem começado a entrar mais no início dessa cadeia, de falar sobre infraestrutura segura, software seguro, a ideação segura. Quais são os requisitos que eu coloco de um sistema para ele abordar segurança? Isso não inviabiliza o produto, justamente o oposto, essa segurança torna o produto possível”, explica Endrigo.
Para o especialista, o primeiro passo para um negócio começar seguro para si e para os clientes é realizar uma análise de mercado eficiente. Se sua startup criou um aplicativo que lida com pagamentos, vai receber dados de cartão de crédito e informações de pessoas, é preciso compreender qual a regulamentação adequada.
Conhecendo o que precisa ser protegido e como outras empresas lidam com isso, o negócio pode se preparar para impedir que pessoas mal-intencionadas usem outros comandos para burlar a etapa de login ou acabem usando cartões de créditos de terceiros.
O mesmo vale para relações com fornecedores, afinal, notas fiscais, endereços, rotas de entrega e outros dados importantes estão disponíveis em um sistema. Para proteger esses dados e evitar que algo possa comprometer a solução ou causar prejuízos, os requisitos de segurança devem fazer parte da startup desde a ideação.
O que fazer se a empresa não tem um modelo de segurança?
Para os negócios que deixaram a segurança para a última etapa, por uma questão de orçamento ou falta de conhecimento, é possível corrigir. Pode ser que custe mais, pode ser que comprometa outros avanços da startup, mas aderir a um modelo de resposta-incidente é uma questão de sobrevivência.
Essa medida pode ser levada como um exercício de pessimismo: imagine tudo de ruim que pode acontecer com sua empresa. Qual é o cenário mais caótico? Qual é a situação mais grave? O que representaria o fim da sua solução? Não é exagero, é preparação!
Leia também – De startup inovadora a empresa sólida: como dar o salto
Que tipo de suporte o Pulse dá para a startup no âmbito de segurança digital?
Apesar de não ser caça-fantasmas, o hub de inovação da Raízen tem um rigoroso processo de sprint para orientar em decisões de cibersegurança. Podendo indicar se sua startup está segura ou não.
O Pulse também auxilia os negócios a se prepararem para passar pela criteriosa peneira da Raízen em termos de segurança. Afinal, uma grande empresa de fornecimento de energia precisa ter garantias sobre a confiabilidade de seus parceiros.
Entre as formas de suporte oferecidas, o time de cibersegurança da Raízen em parceria com o hub aconselha na criação de medidas de segurança, planos de resposta-incidente, verificação dos termos de uso da aplicação, com o objetivo de evoluir a maturidade do negócio.
Hoje, alguns pilotos podem passar pelo comitê de segurança do Pulse. Essa fase é importante para construir uma visão macro sobre o próprio negócio, estipular prioridades e melhorar os próprios processos.
Sobre os custos da segurança, Endrigo explica:
“É possível ter segurança com baixo orçamento tendendo a zero, isso é algo que a gente tem levado para as startups do Pulse. A parte mais cara do processo é o conhecimento das pessoas.”
Para não esquecer: não é necessário comprar soluções milionárias quando se tem uma postura segura.
3 dicas indispensáveis do especialista em cibersegurança
Se o seu negócio ainda é uma ideia no papel, ou a parte de segurança está no final da to-do-list, ainda dá tempo de se adequar e tornar seu negócio mais seguro. Endrigo indica 3 passos indispensáveis para oferecer uma experiência segura para os clientes e passar confiança para possíveis investidores. Confira:
Duplo fator de autenticação ou 2FA: serve para todos os usuários, de funcionários a clientes, para garantir uma camada extra de segurança em todos os níveis. É possível monitorar as tentativas de autenticação bloqueadas ou autorizadas para identificar padrões suspeitos e atividades maliciosas.
Plano de resposta-incidente: é um procedimento detalhado sobre diferentes cenários de insegurança, onde se orienta como lidar com cada um deles passo a passo. Deve incluir um plano de comunicação com todas as partes interessadas, com instruções, nível de prioridade e gravidade, além do possível impacto.
Política de segurança sólida: são regras de uso que consideram possíveis ameaças e orientam sobre o comportamento mais seguro para evitá-las. Deve ser atualizada com frequência para acompanhar a evolução de dispositivos e novas tecnologias. Essa política deve ser conhecida pelos funcionários e fazer parte da cultura de boas práticas.
Se você tem uma ideia inovadora e quer se transformar em um case de sucesso, traga sua solução – com toda a segurança – para o Pulse!
CTA
Se está faltando orçamento para cibersegurança, talvez seja o momento de buscar ajuda. No blog, um investidor-anjo mostra o caminho para impulsionar sua startup.
