Não é exagero dizer que o Brasil está
virando um local propício ao empreendedorismo de inovação — por natureza,
sempre tivemos muitas startups nacionais na área da tecnologia nascendo quase
que diariamente, e esse fenômeno só tende a crescer. Grande parte disso é o
incentivo criado pelas unicórnios brasileiras, ou seja, as empresas que
surgiram aqui e conseguiram alcançar um valor de mercado igual ou superior a
US$ 1 bilhão. Como exemplo, podemos citar a 99, a Nubank, o PagSeguro e (mais
recentemente) a Stone.
É óbvio que empresas unicórnio possuem
algumas características em comum que as auxiliaram a atingir esse patamar e uma
delas é o fato de que todas possuem uma mentalidade corporativa similar: adotam
metodologias de desenvolvimento ágeis (como o Scrum), empregam uma cultura de
informação descentralizada, garantem uma presença contínua na comunidade para
engajar seus fãs e trocam experiências e aprendizados — tanto internamente
quanto externamente.
Por outro lado, é natural que uma
corporação que valha US$ 1 bilhão atraia o olhar sagaz dos criminosos
cibernéticos. É por isso que todas as unicórnios compartilham mais uma
característica em comum: dão muita atenção à segurança da informação,
realizando uma série de procedimentos para checar se não existem brechas em sua
infraestrutura de proteção de dados e se tudo está em conformidade com os mais
altos padrões do setor. Além de, claro, investir em uma equipe de peso para
cuidar desse assunto.
Quando os devs são as vítimas
O setor de engenharia — ou seja, grupo
de desenvolvedores que efetivamente escrevem os códigos de uma startup de
tecnologia — costuma ser o principal alvo quando um cibercriminoso decide atacar
uma startup. Afinal, empresas disruptivas possuem tecnologias próprias e o time
de engenheiros sempre sabe quais serão os seus próximos passos. Esse tipo de
informação é valiosíssima, visto que podem ser vazadas publicamente ou até
mesmo comercializadas no mercado negro.
Obviamente, nenhum bom desenvolvedor
seria descuidado o suficiente para infectar sua máquina com um malware
tradicional — o perigo mora na engenharia social. Esses profissionais podem,
por exemplo, se tornar vítimas de ataques presenciais (como extorsão de
informações em eventos, meetups etc.), em meios eletrônicos (phishing, vishing,
smishing) e por mídias removíveis (entrega de pendrives comprometidos em
coworkings e outros locais públicos que eles frequentam).
Também é necessário treinar sua equipe
para que eles fiquem atentos a exposições espontâneas de informações
corporativas sensíveis, algo que acontece com mais frequência do que você pode
imaginar. Tirar uma foto de sua estação de trabalho (sem garantir que seu
monitor não esteja exibindo trechos de códigos-fonte, por exemplo) e postá-la
nas redes sociais pode ser o suficiente para comprometer um projeto segredo e
entregar o ouro para quem está de olho na possível nova unicórnio do mercado.
Desenvolvimento seguro na prática
As startups pecam ao não incorporar uma
cultura centrada em segurança desde a sua fundação. Proteção de dados não é
algo que deve ser encarado como um custo, mas sim como um diferencial
estratégico e até mesmo competitivo. Se você deixar para se preocupar com esse
assunto só quando seu produto deslanchar, provavelmente já será tarde demais
para preencher as lacunas que foram geradas lá no começo da jornada, quando as
primeiras paredes da empresa estavam sendo erguidas bloco por bloco.
O Desenvolvimento
Seguro, Testes de Segurança em Aplicações Web, Segurança em Cloud, DevSecOps e
outros assuntos que ocupam as salas de programação das principais empresas do
país serão temas do code{4}sec, evento que acontece em São Paulo nesta
quarta-feira, dia 5 de dezembro, reunindo os principais especialistas em AppSec
do país.
