Investimento em segurança da informação desde o dia zero da empresa é o grande segredo dos unicórnios

Por Willian Caprino, especialista em cibersegurança da Blaze Information Security

À medida que a transformação digital ocorre nas empresas, o crescimento de incidentes de segurança como vazamento de dados é igual ou superior à velocidade da transformação. Mas muitas companhias começam a se preocupar com a segurança da informação somente após um problema ou obrigação legal. Do ponto de vista dos especialistas da área, essa preocupação deve existir desde o nascimento da organização (Security by Design), pois quanto antes o compromisso com a segurança acontecer, maiores as chances desta ficar protegida contra os ataques.

Conhecido como Security by Design (seguro desde o projeto), esse procedimento garante a atenção com segurança desde o desenho do software ou da empresa. Isto quer dizer que o produto ou serviço final terá um risco relacionado à segurança muito menor, pois todas as etapas consideraram essa preocupação.

Planejar corretamente, implementar soluções e testar antecipadamente é muito mais barato do que corrigir depois que já estiver pronto, havendo também um ganho com relação ao tempo que o sistema entrará em produção, pois serão evitados retrabalhos para correção de falhas que possam ser exploradas.

O pentest é um aliado do Security by Design. Também chamado de teste de intrusão ou teste de penetração, é um método que avalia a segurança de um sistema de computador ou de uma rede. Ele deve ser executado periodicamente, nos processos de desenvolvimento de produto em fases finais, onde avalia a segurança de um sistema a partir de uma simulação de um ataque, ou quando o produto sofre modificações expressivas.

Além de testar periodicamente os sistemas para se assegurar que não há falhas e assegurar que os sistemas de proteção estão adequadamente configurados, outras preocupações devem existir para evitar ataques e vazamentos, como utilizar uma metodologia de desenvolvimento de software que priorize a segurança em todas as suas fases.

Além de software e aplicativos, uma grande porta de entrada para ataques e vazamento nas empresas são os colaboradores. Muitas vezes não por maldade ou com o propósito de prejudicar, mas sim por falta de conhecimento e preparo. É de grande importância desenvolver uma cultura organizacional onde todos sejam treinados para evitar caírem em armadilhas.

Por exemplo, recentemente, uma indústria farmacêutica comunicou ao mercado ter recebido um ataque cibernético criminoso, que resultou na indisponibilidade de parte de seus sistemas e operações. Já o site e aplicativo de uma grande varejista também sofreu um ataque parecido. Esses ataques cibernéticos poderiam ser evitados se contassem com ações preventivas desde o início das operações.

Segundo uma pesquisa realizada pela EY e divulgada pela Agência EY, o número de ataques cibernéticos contra empresas cresceu 300% em todo o mundo durante a pandemia. Há uma grande vantagem nas empresas que adotam medidas adequadas de gestão de risco e segurança da informação para as que não dão a devida atenção.

Além de estarem mais preparadas para incidentes e menos suscetíveis a impactos a seus negócios, torna-se habitual e natural a tratativa com a prevenção e contenção de incidentes, sendo apenas mais um processo a ser seguido. E com a Lei Geral de Proteção de Dados (LGPD) impactando o dia a dia de praticamente todas as organizações, o cuidado com os dados de terceiros deve ser redobrado.

*Willian Caprino é especialista em cibersegurança e diretor de desenvolvimento de novos negócios da Blaze Information Security com mais de 25 anos de experiência. Já atuou em grandes companhias nacionais e internacionais como Cielo, Banco CCF Brasil e Telefônica. Tem MBA pela Fundação Getúlio Vargas e certificação de Segurança de Sistemas de Informação pela (ISC)².