Se há uma coisa que sua startup de tecnologia deve levar de 2025, é que nenhum negócio é pequeno demais para ser um alvo para cibercriminosos. De fato, as PMEs são agora perspectivas mais atraentes para ransomware do que as empresas legadas, graças aos seus recursos limitados e dados valiosos de clientes.

Frequentemente, startups não têm o conhecimento ou os recursos de que precisam para tomar boas decisões desde o início em seus negócios. Entramos em contato com um especialista em segurança de TI que trabalha frequentemente com startups de tecnologia para obter insights sobre o que as empresas precisam saber quando estão apenas começando.

Gary Power, COO e Diretor de Serviços ao Cliente da Power Consulting(nova janela), tem 25 anos de experiência na indústria de TI terceirizada. A Power Consulting trabalha em estreita colaboração com empresas de todos os tamanhos em todos os setores, fornecendo serviços, incluindo serviços de TI gerenciados, planejamento estratégico de TI e auditorias e serviços de segurança cibernética.

Falamos com Gary para entender onde as startups de tecnologia estão cometendo erros no início de seus negócios.

Seu negócio não é pequeno demais para medidas de segurança cibernética

Usando nosso Observatório de Violação de Dados, a Proton rastreou dados de negócios vazados na dark web para entender quem os hackers estavam visando e como as empresas estavam sendo violadas. Descobrimos 794 violações, totalizando mais de 300 milhões de registros vazados, e ficou óbvio que organizações menores estão cada vez mais em risco.

Seu negócio pode se beneficiar examinando como e por que outras empresas foram impactadas por violações de dados. Os insights obtidos do Observatório de Violação de Dados, bem como nossas recomendações de segurança cibernética para startups de tecnologia, podem ser encontrados em nosso e-book mais recente, As violações que quebraram 2025.

Baixar o e-book

Seja porque o gerenciamento de credenciais falhou, ou porque não utilizaram medidas de proteção como criptografia de ponta a ponta, parece que as PMEs estão cometendo erros cruciais em suas práticas de segurança. E se pequenas empresas permanecerem vulneráveis a ameaças cibernéticas, isso acabará prejudicando indústrias e a inovação em todo o mundo, limitando o crescimento dos negócios.

Gary observa que uma parte fundamental de proteger adequadamente seu negócio é mudar sua mentalidade quando se trata das medidas de segurança que você emprega.

“No início, os fundadores geralmente fazem perguntas reativas como ‘Precisamos disso?’ ou ‘Isso é um exagero para o nosso tamanho?’ À medida que amadurecem, as perguntas mudam para ‘O que realmente nos impediria de sermos violados?’ e ‘Como escalamos com segurança sem desacelerar o negócio?’”

Em vez de pular etapas à medida que seu negócio se estabelece, invista desde o início em sua segurança cibernética. Afinal, como diz Gary: “Os fundadores mais bem-sucedidos percebem que a segurança é um facilitador, não um bloqueador.”

Ferramentas legadas não são automaticamente seguras

Quando chegar a hora de escolher as ferramentas, como as soluções de e-mail, drive e gerenciador de senhas que sua empresa usará, sua escolha faz uma grande diferença. Gary adverte contra supor que soluções populares e modernas serão automaticamente a opção mais segura.

“O maior ponto cego é supor que a segurança é ‘implícita’ porque eles estão usando ferramentas modernas ou plataformas em nuvem. Os fundadores frequentemente acreditam que Microsoft 365, Google Workspace ou AWS significam automaticamente seguro. Na realidade, a maioria das violações decorre de má configuração, controles de identidade fracos, má higiene de acesso e falta de monitoramento — não técnicas de hacking exóticas.”

Isso pode não parecer positivo, mas é: é muito mais difícil prever e prevenir técnicas de hacking sofisticadas do que construir práticas fortes de gerenciamento de identidade e monitoramento dentro da sua rede. As questões que Gary destaca podem ser abordadas usando o seguinte:

Erro humano é uma ameaça séria

Não importa se suas ferramentas são seguras se não estão sendo usadas com segurança. O erro humano é, na verdade, uma das maiores ameaças de segurança cibernética do seu negócio. As superfícies de ataque estão crescendo exponencialmente graças à complexidade das redes empresariais modernas, exigindo que os membros da equipe criem dezenas de contas com senhas únicas e potencialmente acessem essas contas de seus dispositivos pessoais.

“Outro grande erro é subestimar o risco humano: phishing, reutilização de credenciais e dispositivos não gerenciados são geralmente a porta de entrada.

Esses riscos podem ser atribuídos à falta de conscientização em segurança cibernética e expectativas pouco claras sobre como ou se sua rede empresarial pode ser acessada por meio dos dispositivos pessoais dos membros da equipe. Felizmente, eles podem ser abordados facilmente com uma abordagem dupla de políticas e educação:

“Decisões iniciais tornam-se padrões permanentes”, diz Gary. “Modelos de identidade, locais de dados, acesso de administrador e padrões de dispositivos são incrivelmente difíceis de desfazer mais tarde — especialmente quando clientes, investidores e reguladores estão envolvidos. A dívida de segurança se acumula assim como a dívida técnica. É muito mais barato e menos disruptivo definir boas barreiras cedo do que adaptar controles após uma violação, falha de auditoria ou negação de seguro cibernético.”

Fundamentos de segurança são mais importantes do que ferramentas

Ferramentas não são a única consideração que as empresas precisam fazer ao entrar no mercado. Sua infraestrutura de TI ditará quão seguramente os membros da equipe podem trabalhar, quão bem você pode identificar riscos e quão rápido você pode mitigar problemas.

Gary explica como os especialistas da Power Consulting abordam a configuração da infraestrutura de TI e segurança cibernética para startups. “Focamos nos fundamentos antes de ferramentas brilhantes.”

  • Configure políticas fortes de identidade e gerenciamento de acesso, incluindo MFA e “privilégio mínimo”, o que significa que as pessoas devem ter acesso apenas aos sistemas de que precisam.
  • Proteja seus pontos de extremidade, incluindo dispositivos pessoais de funcionários, desde o primeiro dia. Software de gerenciamento de dispositivos pode ajudá-lo a acompanhar quem está iniciando sessão na sua rede e onde.
  • Use registros e monitoramento centralizados para que problemas como acesso não autorizado ou violações de conta não passem despercebidos.
  • Prepare-se para um evento com ferramentas adequadas de backup e recuperação, como backups imutáveis (que não podem ser alterados depois de criados) ou proteção externa onde dados críticos são enviados e armazenados longe do seu local de negócios principal.

Ao construir seu negócio sobre fundamentos sólidos, em última análise, você está investindo em um negócio mais seguro para o seu futuro. O tempo que você gasta construindo infraestrutura segura vale o dinheiro que você economizará e o risco que evitará a longo prazo.

Tire um tempo para configurar corretamente

Gary recomenda focar na sua arquitetura de identidade porque esta é a área com o maior impacto de segurança. Cada membro da equipe tem uma identidade digital que lhes permite acesso aos dados e ferramentas de que precisam na sua rede empresarial, e configurar isso bem faz toda a diferença no futuro.

“Arquitetura de identidade ruim é a mais difícil de desfazer — contas compartilhadas, adoção fraca de MFA e muitos administradores criam risco a longo prazo”, explica Gary. “A expansão de dados não estruturados é outro grande problema; uma vez que dados sensíveis estão espalhados por drives pessoais, caixas de entrada de e-mail e aplicativos SaaS não gerenciados, retomar o controle é doloroso. Finalmente, a falta de documentação e propriedade no início leva à confusão e pontos cegos à medida que as equipes crescem.”