Erros comuns das startups na segurança da informação

A maioria das startups não têm a expertise e os recursos necessários para ter sua própria operação em segurança. No entanto, independentemente de serem grandes ou pequenas, todas as empresas devem lidar com as consequências de uma violação e garantir que estão em compliance com todos os padrões de mercado.

Alguns erros comuns das startups ao lidar com a segurança da informação:

Pensar que não são alvos

Muitas startups não se preocupam com a seguraça da informação por acharem que não estão na mira dos criminosos porque não têm tanto a oferecer quanto as grandes empresas. Porém, as vulnerabilidades das pequenas empresas são um chamariz para os hackers. Nem sempre as perdas são proporcionais ao tamanho da organização. Startups ainda têm a desvantagem de terem menos chances de se recuperar de uma grande violação de dados.

Ignorar os benefícios de processos e políticas

Algumas startups acreditam que processos e políticas são burocracias que atrasam o desenvolvimento. No entanto, não ter regras que definam quem tem acesso a certas informações pode trazer uma série de vulnerabilidades aos dados sensíveis e incentivar as ameaças internas.

Além disso, um guia de procedimentos ajuda a tomar decisões mais rapidamente. Quando usado da maneira correta, o guia pode reduzir a incidência de erros e aumentar a união de todos na busca dos objetivos da empresa.

Acreditar que não são responsáveis

Muitas startups contratam empresas para terceirizar algumas áreas de TI ou fornecedores de tecnologias baseadas na nuvem, pois não têm recursos suficientes para montar sua própria operação ou comprar equipamentos próprios. No entanto, isso não significa que não tenham responsabilidade pelos dados. A empresa que coletou os dados, ou seja, a que é conhecida pelos clientes, é sempre a responsável por sua segurança. Será ela também a que receberá o maior impacto de uma violação.

Achar que ''quanto mais melhor''

Startups tendem a coletar mais dados do que o necessário achando que podem precisar deles no futuro. Porém, quanto mais dados uma empresa tem em seu poder, mais vulnerável fica às violações de segurança.

Além disso, coletar muitos dados pode trazer problemas de compliance. Alguns padrões requerem que as entidades coletem apenas o mínimo de dados necessários para que possam oferecer o serviço prometido.

Muito falamos sobre segurança da informação para startups, mas até que ponto estamos realmente preocupados e interessados em fazer bons investimentos e não apenas gastos?

É notório que ainda continuamos caminhando para ''gastar'' em segurança da informação e não ''investir'' em segurança da informação. Se fosse par listar os principais motivadores para isso seriam:

1) A falta de conscientização das empresas quanto a segurança ser um investimento e um fator estratégico, e não um gasto em TI;

2) A falta de executivos e profissionais que realmente conhecem cenários de riscos, segurança física, infra-estrutura, planos de continuidade de negócios, fraudes e legislação;

3) A falta de conscientização do mercado de que segurança não é comprar hardware ou software, e se preocupar apenas com patches e regras de firewall, ou querer que segurança fique dentro da área de TI;

4) Entender que para investir é preciso conhecer o cenário e tudo que o cerca, e que ocultar os riscos que a empresa está exposta mesmo depois de já ter feito um investimento não é desmerecimento ao que já foi realizado;

5) Entender que o ser humano é o elo mais fraco e é a camada de segurança mais vulnerável. Por isto, é necessário o investimento em treinamentos de conscientização, constantemente, além de soluções ''realmente'' necessárias e mais efetivas.

E você, ainda continua achando que a segurança da informação não é um tema de prioridade em sua startup?