Cibersegurança para Scale-Ups: como se proteger enquanto o negócio cresce e escala

Nessas empresas – onde a inovação é a essência e a tecnologia o fundamento – identificar os riscos digitais é a base para avançar construindo a resiliência e reputação em ecossistemas conectados

Novembro 9, 2023

_{Dentro de um protocolo de gestão de crises, a estruturação da resposta a incidentes cibernéticos tem papel fundamental na capacidade da empresa escalar e ser sustentável}

Por Edgar D’Andrea e Rafael Cortes

As Scale-Ups são empresas inovadoras em seu ramo de atuação, que já foram postas à prova nos estágios iniciais como startups e estão prontas para alçar a curva do crescimento exponencial. Elas desempenham papel fundamental na formação de novos mercados e composição dos ecossistemas econômicos em todo o mundo. Presentes em vários setores, incluindo o agronegócio, as Scale-Ups trilham uma jornada marcada pelo crescimento acelerado, geração de valor para a sociedade e impacto positivo na transformação sobretudo tecnológica. 

Nessas organizações, a inovação é a essência. A tecnologia, o fundamento. A capacidade de adaptação, a garantia da sua sobrevivência. Enquanto a sustentabilidade é o objetivo e o modelo de negócio, o diferencial. Em meio a esse ambiente, como as Scale-Ups podem se proteger dos riscos cibernéticos e crescer de forma planejada e segura? É justamente este o assunto do nosso artigo.

Identificar e planejar

O primeiro passo que uma Scale-Up deve tomar é identificar os riscos associados a ataques cibernéticos e à proteção de dados, explorando as suas principais vulnerabilidades. Essa visão permitirá que a organização consiga ter uma visão ampla das principais portas de entrada para os hackers, podendo estabelecer um plano tático e operacional, para garantir uma abordagem mais eficaz para enfrentar os desafios cibernéticos. 

A identificação dos riscos pode ser realizada de várias maneiras, usando diferentes tipos de frameworks. Geralmente, as empresas optam por contratar consultores externos especializados no assunto, que trazem consigo conhecimento de mercado, uma visão independente e abrangente, a aplicação de métodos e benchmarks, além de oferecer mentorias ao longo do processo. 

Os resultados com esse suporte costumam ser mais eficazes do que quando realizado por meio de recursos internos, que trazem consigo conhecimento de mercado, uma visão independente e abrangente, a aplicação de métodos e benchmarks, além de  oferecer mentorias ao longo do processo. Os resultados com esse suporte costumam ser mais eficazes do que quando realizado por meio de recursos internos.

No processo de identificação os riscos cibernéticos podem ser encontrados em três pilares essenciais dentro da organização, funcionando como portas de entrada para possíveis atacantes. Esses pilares incluem: 

• Tecnologia: Os riscos  tecnológicos abrangem infraestrutura de redes (incluindo nuvem e on-premises), sistemas, aplicativos, APIs e dados que suportam diversas operações, incluindo gestão financeira, relacionamento com clientes, fornecedores, recursos humanos, estoque,  logística, etc. Além disso, tecnologias como IoTs, drones, Inteligência Artificial, Machine Learning, APIs e agregação de dados associados aos processos industriais ou de entrega de serviços “core” da Scale-Up, também podem apresentar riscos.
• Pessoas: A cultura empresarial e as pessoas desempenham papel fundamental na jornada de gestão dos riscos cibernéticos. Atacantes frequentemente utilizam a técnica de phishing, enviando mensagens ou e-mails com links maliciosos para colaboradores. Caso alguém clique no link ou forneça informações, o atacante pode acessar os dados da empresa. Além disso, a engenharia social é outra técnica, na qual os atacantes manipulam as pessoas para que revelem informações confidenciais. Nesse contexto, é importante que a empresa invista em tecnologias de proteção e detecção de e-mails maliciosos, além de capacitar seus funcionários em boas práticas de segurança.
• Processos: Embora os processos seja visto como potencial “engessamento” da inovação e crescimento das startups e Scale-Ups, a existência de algum nível de estruturação de processos e políticas básicas são essenciais para se tornar escalável. Muitas vulnerabilidades exploradas pelos atacantes estão relacionadas às falhas de controle de acesso,  exposição de credenciais,  procedimentos de atualização de patches dos recursos tecnológicos, proteção e governança de dados,  publicação na internet de serviços, implementação  de códigos com vulnerabilidades, configuração dos  recursos em nuvem, etc. 

Dependendo do modelo de negócio, focar apenas nas portas de entrada internas pode não ser suficiente. Os riscos cibernéticos afetam o ecossistema digital em que a Scale-Up se insere. Em um ecossistema, o elo mais fraco pode colocar em risco   todos os participantes, e os atacantes cibernéticos buscam sempre identificar essa fragilidade do ecossistema para fazer estragos maiores com a ativação de ransomwares, por exemplo.

A análise de identificação de riscos permite que a Scale-Up tenha clareza a respeito do nível de maturidade  em cibersegurança e proteção de dados, identifica benchmarks relevantes, reconhece seus ativos digitais mais importantes e avalia os riscos em diferentes níveis (alto, médio e baixo). Além disso, avalia seu nível de preparo para enfrentar crises cibernéticas. No final do levantamento de riscos é feito um plano tático e operacionais para mitigar riscos, considerando investimentos, despesas e priorização das ações ao longo do tempo, tudo alinhado com o modelo de negócio e o apetite ao risco dos investidores e executivos da Scale-Up. Todas essas etapas podem ser transformadas na seguinte jornada:

Proteger e Detectar

A proteção cibernética requer uma estratégia que leve em consideração a  convergência das ações  táticas e operacionais. Contemplando a interação entre  a tecnologia digital, as pessoas, a cultura empresarial e os processos e políticas do negócio. Os fundamentos de proteção devem estar alinhados aos riscos cibernéticos identificados e às tendências de “zero trust” ou confiança zero nas relações digitais entre dispositivos, usuários, apps, redes, etc. 

A arquitetura de segurança é o núcleo central de proteção, abrangendo áreas  com a gestão de ativos, gestão de ameaças e vulnerabilidades, segurança de redes, host,  APIs, , gestão de identidades e acesso privilegiado, governança e proteção de dados, backups e data recovery, bem como a gestão de continuidade de negócios e de crises cibernéticas. 

Quando se fala em detecção é fundamental o uso de tecnologia com alto grau de sofisticação em processos analíticos de grande volume,  correlação de eventos, casos de uso e sensoriamento, gestão de vulnerabilidades e agregação de comportamento digital, de machine learning, de inteligência artificial e de orquestração das informações. Além de representar investimentos (CAPEX) em tecnologia, proficiência dos profissionais e processos correlatos, este arcabouço tecnológico de segurança sugerido distância a Scale-Ups do seu “core”.

Neste contexto, contratar gerenciamento de cibersegurança como serviço é uma opção para as Scale-Ups. Os serviços são entregues por meio de um Centro de Operações de Segurança (SOC), desenhados sob medida, que estabelece uma relação de longo prazo (3 a 5 anos), atuando com estreita cooperação entre as equipes das empresas e do prestador de serviços.

A abordagem da PwC, por exemplo, na entrega destes serviços  é baseada no conceito de execução conectada. As equipes de especialistas cibernéticos usam tecnologias avançadas de análise de segurança nativa da nuvem, de automação e inteligência de ameaças, de gestão de identidade e acesso, de segurança de OT e IoTs e de equipes de informações sobre ameaças e resposta a incidentes. Além de combinar especialistas e tecnologia de segurança de ponta com habilidades de comunicação com o nível executivo, investidores e acionistas. 

Os serviços gerenciados em um SOC para uma Scale-Up deve considerar:

• Proteção da infraestrutura de TI e TO contra agentes mal-intencionados
• Mapeamento da superfície de ataque existente para identificação de vulnerabilidades que levam a violações de dados (uma “visão de fora para dentro”)
• Identificar técnicas, táticas e procedimentos (TTPs) utilizados por atores de ameaças globais e locais, por meio de inteligência de ameaças (Threat Intelligence)
• Alocação de profissionais para serviços de RedTeam e PurpleTeam, apoiando as ações de aprimoramento constante do BlueTeam
• Detecção e resposta a incidentes de segurança cibernética
• Otimização do uso de ferramentas de segurança cibernética
• Identificação proativa de comportamentos não usuais e violações contínuas que possam se transformar em incidentes graves, adotando táticas como Cyber Threat Hunting, que faz uso de plataformas tecnológicas com inteligência artificial embarcada para rapidez na detecção e resposta, e consequente redução do risco cibernético
• Detecção de violações de acesso de alta severidade, tanto em ambientes on-premises, quanto em nuvem. O uso de ferramentas que provêem auto-remediação tem sido comumente adotado por empresas de todos os tamanhos para resposta eficaz e diminuição de erros operacionais, como a disponibilização de dados sensíveis em repositórios públicos externamente, dentre outras falhas de configuração.
• Gestão eficiente na identificação e correção de vulnerabilidades e exceções de segurança para elas
• Gestão de crises por malware
• Adoção por meio de OPEX de tecnologia operacional segura no mesmo nível ou melhor que o ambiente de TI
• Estabelecimento de mecanismos de detecção a ameaças emergentes e melhorar a resposta a incidentes
• Manutenção da segurança dos ativos digitais de maior criticidade.

Responder e Recuperar

Após  obter acesso inicial à organização alvo, os invasores comprometem contas privilegiadas e outros sistemas, utilizando ferramentas comuns de administração de sistemas e de teste de segurança (por exemplo, Cobalt Strike, PowerShell Empire e BloodHound). Essas ferramentas são suficientes para obter acesso privilegiado às redes corporativas, devido a problemas generalizados de TI, como a ausência de atualizações de segurança, configurações inadequadas em serviços na nuvem e fragilidades do Active Directory, além de recursos que não detectam as técnicas usadas nesses ataques. 

Com o acesso à rede  os invasores extraem dados confidenciais e implantam ransomware da forma mais ampla possível, na maioria dos casos provocando um distúrbio grande e prolongado nas operações do negócio.

Posteriormente, os invasores tentam extorquir a vítima, exigindo resgates  substanciais, enquanto ameaçam vazar dados confidenciais para aumentar a pressão. Esses ataques não apenas causam impactos financeiros e  operacionais, mas também causam danos significativos danos à imagem e reputação.

Na atualidade, estar preparado para responder e se recuperar de ataques cibernéticos dessa magnitude é essencial para as Scale-Ups. Dentro de um protocolo de gestão de crises, a estruturação da resposta a incidentes cibernéticos tem papel fundamental na capacidade da empresa escalar e ser sustentável.