Uma tendência bastante crescente atualmente no mundo corporativo tem sido o aparecimento de startups - um grupo de pessoas em busca de um modelo de negócio escalável e repetível, que trabalham em situações de extrema incerteza. Com isso, é sensato que as startups concentrem a maior parte dos recursos e tempo no desenvolvimento de produtos, divulgação da marca, captação de clientes e diversas outras atividades que colaborem diretamente com o crescimento do negócio.
No entanto, ao iniciar as atividades, é provável que todos tenham um sentimento de que não há nada essencial para se proteger, o que está longe de ser verdade. Todo negócio possui algo que o torna único, portanto, proteger suas informações é também proteger seu know-how e sua vantagem competitiva.
Para isso, é necessário agregar uma mentalidade de segurança a cada uma das atividades, conhecendo os potenciais riscos e antecipando-se a eles. Esta atitude contribui significativamente para um crescimento sólido da empresa – afinal de contas, toda startup deve encarar os diversos riscos intrínsecos do próprio negócio, ou seja, o gerenciamento de riscos é um fator chave para o sucesso.
Este post é o primeiro de uma série sobre como uma startup deve abordar o tema Segurança da Informação no dia a dia. Veja os riscos de uma má gestão de riscos nas startups nos casos a seguir:
Exposição de informações confidenciais
Dentre os erros mais comuns, com grande potencial de impacto nos negócios, certamente está a exposição de informações confidenciais. Os impactos estão relacionados desde danos de reputação até à própria continuidade do negócio.
Não é incomum encontrar códigos, token de acesso e credenciais publicadas por empresas em repositórios públicos e outras informações restritas que simplesmente não deveriam estar expostas. A complexidade de explorar esse tipo de ameaça é muito baixa, existindo inclusive técnicas e ferramentas para realizar buscas otimizadas por informações (a princípio) restritas, mas que estão publicamente expostas.
Para citar exemplos dessas técnicas e ferramentas:
- GoogleDorks é uma técnica de buscas otimizadas no Google, utilizado para filtrar as buscas e que pode ser utilizado para encontrar senhas de um domínio que foram indexadas pelo Google.
- GitMiner é uma ferramenta que realiza buscas de informações confidenciais contidas no GitHub. Um dos exemplos de utilização dessa ferramenta é a busca por senhas contidas em arquivos do governo brasileiro.
Além destes exemplos, há muitos outros e a extensão dessas ameaças afetam até mesmo companhias em estágios mais avançados de seus negócios.
O time do Detectify realizou um experimento buscando por tokens de acesso do Slack, no GitHub, e constatou que diversas companhias como provedores de pagamentos e companhias na lista de Global 500 da Forbes tiveram seus tokens de acessos do Slack expostos.
Simples descuidos com informação sensíveis podem ter consequências graves para a continuidade do negócio, como foi o caso da Code Spaces, um fornecedor de repositório de código e serviços de gerenciamento de projetos.
No início de 2014, a Code Spaces foi obrigada a encerrar seu negócio após um incidente de segurança, no qual cibercriminosos obtiveram acesso ao painel de controle da Code Spaces na AWS e deletaram os dados e backups da startup.
Algumas lições podem ser aprendidas por meio deste caso:
- Proteger as informações é vital para o negócio. Certamente essa história teria sido diferente caso a Code Spaces utilizasse o duplo fator de autenticação para acessar seu painel administrativo - o MFA, no caso da AWS.
- Apesar de haver um plano de backup, o risco de um ataque (como o ocorrido) não foi levado em conta e tanto os dados de produção quanto seus backups estavam susceptíveis à mesma ameaça - assim como adverte a gestão de riscos nos investimentos, não se deve colocar todos os ovos na mesma cesta.
- A Code Spaces fornecia repositório de códigos e serviços de gerenciamento de projetos para diversas empresas, que certamente foram afetadas pelo encerramento repentino de suas atividades. Quantas delas não tiveram também que encerrar as atividades? Ser usuário de soluções na nuvem (SaaS) não exime a empresa de gerenciar riscos.
Portanto, é necessário restringir e monitorar quem acessa os ativos importantes do negócio e sempre procurar fortalecer a forma como o acesso é realizado.
As ameaças de violação dessas informações vão muito além dos exemplos citados neste post, como desde a perda de um laptop com informações (que não possuem backup e não estão protegidas com o uso de criptografia) até fraudes, ransomware, entre outros mais.
Neste post foram abordados os riscos de uma má gestão da Segurança da Informação nas startups e, além disso, foram apresentados alguns casos bastante noticiados na mídia. No entanto, é importante continuar atento e refletir sobre os riscos e contramedidas em cada atividade do negócio.
Nos próximos posts você poderá saber como as startups podem melhorar sua gestão da segurança da informação por meio de dicas e boas práticas para lidar com ameaças.