Segurança Cibernética e Proteção de Dados: O que isso tem a ver com as startups do Agro?

Conforme a digitalização avança, o cenário de ataques cibernéticos também vai escalando no agro. Entenda como se preparar e prevenir incidentes que colocam o ecossistema em risco

Junho 22, 2023

_{À medida que o avanço digital se intensifica, o risco de ataque cibernético aumenta (Foto: Canva)}

Por Edgar D’Andrea e Rafael Cortes

A transformação digital no agronegócio brasileiro é impulsionada por diversas tecnologias, o que posiciona o setor como referência mundial em inovação, puxada principalmente pelas startups.  Com essa transformação, o agronegócio tem alcançado resultados surpreendentes, graças a ferramentas como a agricultura de precisão, inteligência artificial, robotização, sensoriamento remoto e in loccu (IoTs), conectividade (5G), etc.

Porém, quanto maior o avanço digital, maior é também a superfície tecnológica à disposição de atacantes cibernéticos. A rápida migração para soluções digitais em nuvem e Analytics também contribui para isso e cria mais pressão nas equipes de inovação, build, test & deploy de aplicativos e infraestrutura digital, de logística, engenharia industrial, segurança cibernética e proteção de dados.

Cenário dos ataques cibernéticos

Os autores de ameaças cibernéticas estão usando estratégias cada vez mais sofisticadas, adicionando camadas de complexidade técnica que dificultam a detecção de problemas e aumentam, ainda mais, as chances de comprometer sues alvos. Com isso temos um cenário de: 

• Aumento nos casos de ataques cibernéticos, no Brasil e no mundo, por meio de técnicas sofisticadas e apoiadas em inteligência artificial, engenharia social, vulnerabilidades zero day, phishing, etc;
• Aumento significativo dos impactos operacionais, financeiros e reputacionais para as empresas de todos os tamanhos;
• Ampliação da superfície de ataque, (o que reforça que não basta estar seguro “isoladamente”, ou seja, que todos os parceiros conectados ao negócio em um ecossistema digital também precisam estar seguros;
• Crescimento de casos em que o atacante faz dupla ou tripla extorsão, a partir do sequestro dos recursos digitais, de dados pessoais e, mais recentemente, de espionagem industrial e empresarial;
• Aceleração de marcos legais e regulatórios em todo mundo, buscando coibir as ações dos atacantes e direcionar as empresas para o  estabelecimento de práticas mais robustas de gestão dos riscos cibernéticos e de proteção de dados.

Essa realidade afeta executivos, investidores, acionistas, conselhos e reguladores, que vêm aumentando também seu nível de atenção ao tema da segurança cibernética.

Cibersegurança em startups: por onde começar?

Sempre que o modelo de inovação proposto pela startup utilizar o ambiente digital, haverá riscos associados ao modelo. Mas isso não pode paralisar o empreendedor ou seu CTO. Ao contrário, precisa motivá-los a investir em prevenção. 

Num check-list rápido, como você responderia a essas perguntas?

Principais portas de entrada para os ataques

Entre os principais vetores de ataques cibernéticos estão a vulnerabilidade em códigos de aplicativos e APIs (Application Programming Interface). Essa via responde, em conjunto, pela origem de mais de 35% dos ataques cibernéticos no primeiro contato com o alvo. . . Por isso é tão importante adotar métodos estruturados, como os DevOps, aplicados ao desenvolvimento e à integração de códigos e aplicativos na plataforma digital da startup.

O DevOps é uma abordagem que busca integrar as equipes de desenvolvimento de software (Dev) e operações de TI (Ops), por meio da automação de tarefas, utilização de ferramentas e adoção de práticas ágeis, com o objetivo de aprimorar os processos de desenvolvimento e implantação. Essa colaboração entre as áreas resulta em entregas de software mais rápidas e confiáveis, proporcionando maior eficiência.

Além disso, plataformas tecnológicas de orquestração, automação, integração e deployment contínuos, apoiado por inteligência artificial e machine learning, têm tido papel fundamental na otimização dos processos de Dev e de Ops.

A segurança cibernética se integra aos processos DevOps e à esteira CI (Continuous Integration) /CD (Continuous Deployment) por meio do DevSecOps, que estabelece um processo estruturado para a atuação das equipes desenvolvedores (Dev), engenheiros de segurança (Sec) e de TI (Ops). 

DevSecOps se apoia em avaliar a segurança de códigos em cada etapa do DevOps, em automatizar e otimizar os processos por meio de ferramentas de segurança, ajudando as equipes no desenvolvimento de códigos de qualidade em todo o ciclo de vida de desenvolvimento de software (SDLC).

Em busca de rapidez, eficiência e automação no contexto “everything as a code”, o DevSecOps deve considerar dois elementos fundamentais como parte do DevOps: 

1) Security as Code (SAC), por meio de códigos de segurança que automatizam tarefas como scan e avaliação de vulnerabilidade do código, de testes dinâmicos (DAST) e estáticos de segurança (SAST) ; 

2) Infrastructure as Code (IaC), definindo e entregando, por exemplo, redes, máquinas virtuais, topologias e conexões e seus respectivos versionamentos.

Neste que é o primeiro artigo da série “Segurança Cibernética e Proteção de Dados – O que isso tem a ver com Startups do Agro” exploramos os desafios na área de segurança cibernética e a necessidade de começar a olhar para eles. Se gostou do conteúdo, continue acompanhando as publicações no AgTech Garage News e também nossa campanha sobre ciber nas mídias sociais. É fato que os riscos cibernéticos não devem ser vistos como um tema meramente tecnológico, mas sim como uma oportunidade de negócios para empresas e startups criarem valor, confiança e resiliência no mercado.

Edgar D’Andrea é sócio da PwC, com larga experiência profissional prestando serviços de consultoria em Segurança da Informação, Proteção de Dados, Governança de TI e Gestão de Riscos e Compliance. Visão executiva, assessorando Conselhos de Administração, Comitês de Auditoria e Comitês de Risco no direcionamento de abordagens ágeis e eficientes em segurança cibernética e proteção de dados, que geram confiança e resiliência em todas as linhas de defesa da organização. Bacharel em Ciência da Computação pela Universidade Estadual de Campinas, pós-graduado pela FGV-SP e participante de programas internacionais de formação executiva.

Rafael Cortes é sócio da PwC e lidera o centro de operações e a prestação de serviços gerenciados em segurança cibernética da PwC Brasil. É bacharel em Engenharia da Computação pela Universidade Federal de Itajubá e tem MBA em Gestão Empresarial pela FIA. Atuando há mais de 18 anos em Tecnologia e Segurança cibernética, tem as certificações Certified Information Systems Security Professional (CISSP), Harvard Advanced Manage Mentor, Advanced Level Linux Certification (LPIC-2) e Microsoft Certified Professional (MCP).