Cibersegurança em startups: por que e como investir no early stage, com Rodrigo Jorge, da Neoway

Canary
10 min readAug 26, 2021

--

Inserindo um lema famoso por aqui: just do it!

Corremos o risco de começar esse texto de maneira bem clichê. Tudo bem, já que, neste caso, o pior dos cenários é você, leitor, nos abandonar. Seria triste, mas sobreviveríamos. Quando se arrisca com segurança (e saúde), não há essa certeza… Dito isto, lá vai: é melhor prevenir do que remediar.

Não há muito o que discutir. Qualquer negócio precisa investir em cibersegurança — assim como é preciso tomar a vacina para minimizar as chances de adoecer. Uma exposição de dados, independentemente do tamanho da base da empresa, pode ser o fim. Sem alarmismos aqui: pode prejudicar a reputação, além de afastar clientes, parceiros e investidores de uma companhia. Também pode atrapalhar — e muito — as operações da empresa, que terá de dedicar tempo, esforços e recursos financeiros para reverter o quadro.

A partir deste mês, instituições que não se adequarem à Lei Geral de Proteção de Dados (LGPD) já podem sofrer sanções, que vão desde multa de até 2% do faturamento (com limite de até R$ 50 milhões), à proibição parcial ou total da atividade de tratamento de dados. Ainda que a punição seja uma novidade, o assunto já vem sendo debatido há alguns anos. Em um mundo cada vez mais conectado, os dados das pessoas valem muito — e ter acesso a eles é poder.

Nesse sentido, as instituições têm de fazer um bom uso das informações dos usuários, que precisam ser solicitadas com um fim definido e devem estar protegidas contra fraudes e vazamentos. Desde que a lei entrou em vigor, empresas dos mais variados portes e segmentos tiveram de se adaptar e fazer alterações tanto na área de segurança, quanto na de produto.

Foi o caso da Neoway, empresa que oferece soluções de Big Data Analytics e Inteligência Artificial a negócios. “ Não temos um Data Protection Officer (DPO), mas tem um Privacy Office, que é formado por pessoas de três áreas: a head de legal, o CDO (Chief Data Officer) e eu”, contou Rodrigo Jorge, Chief Information Security Officer (CISO). “Agora estamos adequados à LGPD, mas em termos práticos, foi bem trabalhoso: foi preciso adaptar o produto, exigiu mais maturidade na governança dos dados. Tivemos que fazer diversas e diversas revisões e, todos aspectos”.

Ainda que a LGPD esteja trazendo mais visibilidade para o tema da cibersegurança, não é da missa a metade. A bíblia é pouco para dar conta de um cenário cada vez mais complexo, com ataques variados, sendo DDos, ransomwares, phishings apenas alguns dos mais conhecidos.

Um exemplo recente, só para dar um cheiro da importância do tema: em junho, a rede de laboratórios Fleury sofreu um ataque hacker pelo grupo REvil, que ameaçou publicar 450 GB de dados de pacientes. O sistema caiu e clientes passaram dias sem conseguir acessar os resultados de seus exames. Um baita problema!

Sim, esta é uma instituição já consolidada e pode existir a crença de que, por isso, seja mais visada. Mas não é bem assim, como explica o Josemando Sobral, CEO da Unxpose.

“Muitas empresas têm a ilusão da proteção por obscuridade, isto é, de que são pequenas ou desconhecidas o suficiente para serem atacadas. A verdade é que raramente os ataques são direcionados, sendo mais como uma rede de pesca. Assim, empresas menores e pouco protegidas acabam sendo presas fáceis, e queremos evitar isso”.

O Josemando mediou um Canary Talks em julho com o Rodrigo Jorge. Os dois explicaram por que é necessário olhar para a cibersegurança desde o early stage. “Para uma empresa que está no seed, pleiteando um round, qualquer incidente de segurança pode afastar um potencial investidor”, diz Rodrigo.

Outro ponto fundamental: é muito mais difícil corrigir uma empresa que já tem uma operação grande rolando. Gasta-se mais tempo e há um trabalho maior de conscientização de todos e de mudança de hábitos. “Quando se define políticas e padrões de segurança no começo, criando uma cultura, é muito mais fácil escalar sem ter de gerar impacto ou fricção no dia a dia da empresa para implementar boas práticas”.

E mais um: vai chegar o momento em que a startup vai precisar vender para grandes clientes, que vão exigir assessment de segurança. Perder a oportunidade de conquistar um cliente de peso por não atender os requisitos mínimos é um péssimo sinal e pode ser a morte para uma empresa que está nos primórdios. Enfim: é melhor antecipar o problema, prevenir do que remediar, tomar a vacina.

Por onde começar

Assim como branding e cultura, o ideal é que a cibersegurança esteja no radar desde o princípio da vida de uma startup. Mas por onde começar efetivamente?

O primeiro passo, segundo Rodrigo, é organizar a casa, entender quais são os pontos fortes e fracos e não jogar a sujeira para baixo do tapete. Só fazer um pentest (Penetration Test, em que uma equipe é contratada para tentar invadir um sistema), por exemplo, pode trazer uma falsa sensação de segurança, e não resolve a questão da cibersegurança, que é muito mais complexa — e passa pela cultura. De nada adianta ter um super sistema de segurança e ter um colaborador mandando senhas por e-mail (voltamos ao assunto em breve!).

Para quem está na linha de frente da segurança, pode ser importante começar com um software de análise de vulnerabilidades, que faz assessment de segurança, e consegue escanear toda a infraestrutura que está exposta, tanto para a internet quanto internamente.

“Cada empresa tem uma realidade diferente, dá para começar de diversas maneiras, mas vale destacar que existem muitas iniciativas gratuitas. Para quem trabalha com Kubernetes, hoje já se fala muito em segurança de Kubernetes e os materiais são todos gratuitos, de boas práticas, de escaneamento, de assessment, de gerenciamento de segurança de AWS, Google Cloud etc”.

Outro ponto básico é fazer análise de código, já que, na maioria dos casos, qualquer invasão ou incidente se dá por erros no código. É importante testar. E para quem está com orçamento mais curto, fica a dica: a fundação OWASP (Open Web Application Security Project) tem guias e ferramentas para testes de segurança.

“É muito comum ver aplicações que não seguem padrões mínimos de segurança, como tamanho de senha ou envio da senha para o usuário por e-mail”, afirma. “A dica aqui é já começar a sua aplicação com dois fatores de autenticação, proteção contra força bruta, e ainda colocar debaixo de uma Cloudflare ou Similares, que existem no mercado e custam a partir de US$ 80 por mês”.

Time: Montar um time técnico já pode ser complicado no Brasil. Um time de cibersegurança, então… Um erro comum é achar que o(a) dev pode ser o(a) super profissional responsável por toda a infra e segurança do negócio.

São áreas diferentes e com desafios e prerrogativas diversos. Mesmo que a pessoa seja fera, uma máquina, um foguete e consiga aprender muito sobre cibersegurança, há também uma questão de alocação de tempo — algum prato vai cair. Mesmo dentro do setor de segurança, um só profissional não dá conta de resolver todos os problemas. O que nos leva ao próximo ponto: como cuidar da área?

Time interno ou consultoria externa?

Depende. Cada empresa tem uma realidade e desafios próprios. “O dado, dentro de uma empresa, tem um ciclo de vida. O ideal é começar internamente mapeando seus dados. Muita empresa hoje não tem nem o catálogo de dados, e o mapa do fluxo do que passa ali dentro”, diz Rodrigo. Caso não haja braço para isso, aí vale contratar uma consultoria para este passo, mas não é o mais recomendado. “Até que ela entre e entenda o seu negócio, vai custar caro. Recomendo que a empresa já vá montando o seu próprio catálago”.

Mesmo em times pequenos, fazer esse trabalho de análise do status de segurança do negócio é essencial. E vai ajudar a definir qual caminho tomar. Às vezes, pode ser mais necessário investir em cultura, políticas e normas para evitar vazamentos do que necessariamente em tecnologia. É o famoso caso do cara do time de comercial que acaba mandando dados de outros clientes por e-mail para concluir qualquer venda. Em outros casos, falta mesmo um profissional de segurança que seja capaz de prevenir e remediar ataques.

De todo modo, mesmo em empresas em patamares mais adiantados, consultorias são importantes. Na Neoway, por exemplo, para a adequação à LGPD, foi necessário contar com a parceria de um escritório de advocacia, para ajudar na adequação de fontes.

Contratando: Estamos cheios de frases de efeito neste texto, mas o barato sai caro. Hoje, no Brasil, ainda há uma carência de profissionais da área de cibersegurança qualificados. Uma pesquisa rápida no Glassdoor indica um salário médio de R$ 13 mil para quem trabalha na área.

Vale destacar ainda que dificilmente uma única pessoa resolverá todos os problemas de segurança. É importante entender como a empresa está posicionada para ir ao mercado procurar o profissional certo.

“Tem muita gente que é generalista, entende de gestão de risco, de segurança de AWS, de Cloud, de aplicações, teve experiências prévias, mas não dá conta de tudo”, diz Rodrigo. “Em uma empresa que tem certa maturidade, tem um cara que vai ser segurança ofensiva, vai testar o código, testar aplicação, atuando como Ethical Hacker; outro que vai atuar com segurança de infraestrutura, vai fazer papel de blackops ou dev-sec-ops, falando com a área de desenvolvimento; e tem ainda o responsável pela segurança da aplicação, que só cuida de aplicação web”.

Desenvolvendo devs: Se todas as áreas estão sempre em transformação, isso é ainda mais real quando se fala em TI. A tecnologia corre mais do que o Usain Bolt (as Olimpíadas já acabaram, mas estamos com saudade).

Hoje, existem diversos treinamentos e certificações específicas para cada tipo de linguagem e tecnologia que se utiliza — e nem todas são caras. “Eu sou a favor da certificação desde que a pessoa trabalhe na área. Se está com a mão na massa, tudo o que vê no treinamento, vai pôr em prática”, defende Rodrigo. Na Neoway, periodicamente o dev recebe treinamento de desenvolvimento seguro, com a Conviso. Muitos outros profissionais fazem certificações de Google Cloud Security, que é a plataforma utilizada por lá.

A solução vem de fora?: Mesmo empresas que têm uma área de segurança já forte volta e meia recorrem a consultorias para executarem tarefas específicas ou atualizações. Para quem está no early stage, então, sem tempo irmão, pode ser a saída. Como dissemos antes, colocar ordem na casa é o primeiro passo para definir que tipo de ajuda externa será necessária. Alguns quick wins abaixo podem ajudar.

Cultura de segurança

Frase de efeito nº324: segurança é dever de todos: vai do CEO ao estagiário. “Todo mundo que está dentro da organização tem que ter consciência de que é um agente de proteção de dados”, diz Rodrigo.

Na Neoway, a equipe de segurança está sempre atenta a todas as áreas e se reúne pelo menos duas vezes por semana para avaliar quais são as vulnerabilidades e como podem ser corrigidas. Como quem não é visto não é lembrado, é preciso manter o tema quente entre todos da empresa. Há esforços frequentes de conscientização de todos, como talks, palestras e treinamentos mensais.

Rodrigo defende que esses encontros não sejam longos ou massivos, mas abordem o assunto de forma leve e assertiva. Definir uma política de segurança da informação desde o começo ajuda a nortear as ações para cada empresa.

Se a equipe de segurança estiver reduzida por aí, existem algumas soluções que podem ser úteis nesse papel e tentam fazer com que seja leve e divertido. O Hacker Rangers, por exemplo, promove cultura de cibersegurança como se fosse uma brincadeira, com gamificação. A KnowBe4, por sua vez, tem uma websérie, chamada The Inside Man, com o mesmo objetivo.

Desenvolvedores, em especial, precisam ter reciclagens mais frequentes. “Dev precisa fazer treinamentos de código seguro sempre que puder”, afirma Rodrigo. Faz sentido, principalmente se pensarmos que há hackers pensando em novas formas de invasão a cada momento (assim como surgem novas mutações de vírus a cada dia por aí).

Onboarding: Só um friendly reminder aqui: para não deixar o samba morrer, novos funcionários precisam entrar nessa cultura desde o começo. De novo, há diversas formas de fazer isso, seja com uma palestra com novos colaboradores ou vídeos (por que não? Pode economizar tempo).

Segurança não é armadura: “Ambientes de startups prezam por autonomia e por desenvolver inovação. Quando você engessa os processos, às vezes a pessoa perde o tesão. Segurança é boa a partir do momento que não atrapalha o negócio. O papel dela é sempre apoiar a empresa, para que ela ande bem. Por isso, a Cultura de Segurança é importante: para que tudo que seja feito, tenha segurança no seu princípio.”

Outra boa dica do Rodrigo aqui. É preciso pensar em segurança mais como escudos do que como uma armadura rígida que atrapalhe a flexibilidade e liberdade de criação e experimentação.

Por outro lado, como sempre na vida, tem de haver um equilíbrio. Não dá para abrir mão de criar padrões de segurança. “Se der abertura de mais, o cara se empolga, e muitas das exposições que acontecem vêm de más práticas, misconfiguration. O desenvolvedor, para facilitar a vida, ao invés de trabalhar permissões pontuais ou específicas, dá permissão total e isso pode ser um perigo”.

Quick wins

Se você, leitor, ficou conosco até aqui: nosso muito obrigado! Abaixo, separamos alguns pontos mais importantes para quem quer subir a escada sem capotar (lê-se empresas que querem escalar de forma segura).

  • Antes de mais nada, é preciso ter consciência de que segurança não é um custo ou um problema, mas uma forma de prevenir dores no futuro — alô vacina!
  • Colocar um Web Application Firewall (WAF) na frente de qualquer aplicação web pode ajudar no primeiro momento. Há diversos no mercado e custa em torno de US$ 100.
  • Um testing guide da OWASP é outra dica.
  • Ferramentas como a da Unxpose são uma excelente forma de fazer uma análise da segurança do negócio. A startup, que é investida da Canary, faz um levantamento de todos os assets digitais da empresa que estão expostos na internet, e também na nuvem, em busca de falhas de segurança e vazamentos de dados.
  • Fazer um exercício de análise interna do que é risco deve ser uma constante. Quem está dentro da empresa, naturalmente, percebe oportunidades de melhoria e onde falta proteção. Por que não fazer um brainstorming com todos periodicamente com esse tema? “Muitas vezes, isso vai ficando em segundo plano, mas é uma ótima forma de ter um short-list com os próximos passos”, diz Rodrigo.
  • Há ainda empresas que oferecem serviços de CISO as a Service: entram, fazem essa análise e trazem oportunidades de melhoria, com uma visão externa, sem vícios, e com roadmap de implementação. Em alguns casos, compensa.

--

--

Canary
Canary

Written by Canary

Parceiro dos melhores founders na América Latina. Por aqui, compartilhamos os principais aprendizados de empreendedores(as) investidos(as) e de nossa rede.

No responses yet