Se há uma coisa que a sua startup tecnológica deve reter de 2025, é que nenhum negócio é demasiado pequeno para ser um alvo para cibercriminosos. De facto, as PME são agora alvos mais atrativos para ransomware do que empresas de legado, graças aos seus recursos limitados e dados de clientes valiosos.

Muitas vezes, as startups carecem do conhecimento ou dos recursos de que necessitam para tomar boas decisões no início dos seus negócios. Contactámos um especialista em segurança informática que trabalha frequentemente com startups tecnológicas para obter informações sobre o que as empresas precisam de saber quando estão a começar.

Gary Power, COO e Diretor de Serviços a Clientes na Power Consulting(nova janela), tem 25 anos de experiência na indústria de TI subcontratada. A Power Consulting trabalha de perto com empresas de todas as dimensões em todos os setores, prestando serviços incluindo serviços geridos de TI, planeamento estratégico de TI e auditorias e serviços de cibersegurança.

Falámos com o Gary para compreender onde as startups tecnológicas estão a cometer erros no início dos seus negócios.

O seu negócio não é demasiado pequeno para medidas de cibersegurança

Utilizando o nosso Observatório de Fugas de Dados, a Proton rastreou dados empresariais divulgados na dark web para compreender quem os piratas informáticos estavam a visar e como as empresas estavam a ser violadas. Descobrimos 794 incidentes, totalizando mais de 300 milhões de registos divulgados, e tornou-se óbvio que as organizações mais pequenas estão cada vez mais em risco.

O seu negócio pode beneficiar ao examinar como e porque é que outras empresas foram impactadas por violações de dados. As informações obtidas no Observatório de Fugas de Dados, bem como as nossas recomendações de cibersegurança para startups tecnológicas, podem ser encontradas no nosso último eBook, The breaches that broke 2025.

Transferir o eBook

Quer a sua gestão de credenciais tenha falhado, quer não tenham utilizado medidas de proteção como a encriptação de ponto a ponto, parece que as PME estão a cometer erros cruciais nas suas práticas de segurança. E se as pequenas empresas permanecerem vulneráveis a ameaças cibernéticas, isso acabará por prejudicar indústrias e a inovação em todo o mundo, limitando o crescimento empresarial.

O Gary observa que uma parte fundamental da proteção adequada do seu negócio é mudar a sua mentalidade no que diz respeito às medidas de segurança que emprega.

«No início, os fundadores costumam fazer perguntas reativas como “Precisamos disto?” ou “Isto é exagerado para a nossa dimensão?” À medida que amadurecem, as perguntas mudam para “O que nos impediria realmente de sofrer uma violação?” e “Como escalamos com segurança sem abrandar o negócio?”»

Em vez de saltar passos à medida que o seu negócio se estabelece, invista desde o início na sua cibersegurança. Afinal, como diz o Gary: «Os fundadores de maior sucesso percebem que a segurança é um facilitador, não um bloqueador.»

Ferramentas legadas não são automaticamente seguras

Quando chega a altura de escolher as ferramentas, como as soluções de e-mail, unidade e gestor de palavras-passe que o seu negócio utilizará, a sua escolha faz uma grande diferença. O Gary alerta contra assumir que soluções populares e modernas serão automaticamente a opção mais segura.

«O maior ponto cego é assumir que a segurança é “implícita” porque estão a utilizar ferramentas modernas ou plataformas na nuvem. Os fundadores acreditam frequentemente que o Microsoft 365, o Google Workspace ou a AWS significam automaticamente segurança. Na realidade, a maioria dos incidentes resulta de má configuração, controlos de identidade fracos, má higiene de acesso e falta de monitorização — não de técnicas de hacking exóticas

Isto pode não parecer positivo, mas é: é muito mais difícil prever e prevenir técnicas de hacking sofisticadas do que construir práticas fortes de gestão de identidade e monitorização na sua rede. Os problemas que o Gary destaca podem ser abordados utilizando o seguinte:

O erro humano é uma ameaça séria

Não importa se as suas ferramentas são seguras se não estiverem a ser utilizadas de forma segura. O erro humano é na verdade uma das maiores ameaças de cibersegurança do seu negócio. As superfícies de ataque estão a crescer exponencialmente graças à complexidade das redes empresariais modernas, exigindo que os membros da equipa criem dezenas de contas com palavras-passe únicas e potencialmente acedam a essas contas a partir dos seus dispositivos pessoais.

«Outra falha importante é subestimar o risco humano: phishing, reutilização de credenciais e dispositivos não geridos são geralmente a porta de entrada.»

Estes riscos podem ser atribuídos à falta de consciencialização em cibersegurança e expectativas pouco claras sobre como ou se a sua rede empresarial pode ser acedida através dos dispositivos pessoais dos membros da equipa. Felizmente, podem ser abordados facilmente com uma abordagem dupla de políticas e educação:

«As decisões iniciais tornam-se predefinições permanentes», diz o Gary. «Modelos de identidade, localizações de dados, acesso de administrador e padrões de dispositivos são incrivelmente difíceis de reverter mais tarde — especialmente quando clientes, investidores e reguladores estão envolvidos. A dívida de segurança acumula-se tal como a dívida técnica. É muito mais barato e menos disruptivo definir boas barreiras de proteção cedo do que adaptar controlos após um incidente, falha de auditoria ou negação de seguro cibernético

Os fundamentos de segurança são mais importantes do que as ferramentas

As ferramentas não são a única consideração que as empresas precisam de ter à medida que entram no mercado. A sua infraestrutura de TI ditará a segurança com que os membros da equipa podem trabalhar, quão bem pode detetar riscos e quão rápido pode mitigar problemas.

O Gary explica como os especialistas na Power Consulting abordam a configuração de infraestrutura de TI e cibersegurança para startups. «Focamo-nos nos fundamentos antes das ferramentas vistosas.»

  • Configure políticas fortes de gestão de identidade e acesso, incluindo MFA e «privilégio mínimo», o que significa que as pessoas devem ter acesso apenas aos sistemas de que necessitam.
  • Proteja os seus terminais, incluindo os dispositivos pessoais dos funcionários, desde o primeiro dia. Software de gestão de dispositivos pode ajudá-lo a acompanhar quem está a iniciar sessão na sua rede e onde.
  • Utilize registos e monitorização centralizados para que problemas como acesso não autorizado ou incidentes de conta não passem despercebidos.
  • Prepare-se para um evento com ferramentas adequadas de cópia de segurança e recuperação, como cópias de segurança imutáveis (que não podem ser alteradas após terem sido criadas) ou proteção externa onde dados críticos são enviados e armazenados longe do seu local de negócio principal.

Ao construir o seu negócio sobre fundamentos sólidos, está, em última análise, a investir num negócio mais seguro para o seu futuro. O tempo que gasta a construir infraestrutura segura compensa o dinheiro que poupará e o risco que evitará a longo prazo.

Dedique tempo a configurar corretamente

O Gary recomenda focar-se na sua arquitetura de identidade porque esta é a área com maior impacto na segurança. Cada membro da equipa tem uma identidade digital que lhe permite acesso aos dados e ferramentas de que necessita na sua rede empresarial, e configurar isto bem faz toda a diferença no futuro.

«A má arquitetura de identidade é a mais difícil de desfazer — contas partilhadas, fraca adoção de MFA e demasiados administradores criam risco a longo prazo», explica o Gary. «A dispersão de dados não estruturados é outro problema grave; uma vez que dados sensíveis estão espalhados por unidades pessoais, caixas de entrada de e-mail e aplicações SaaS não geridas, recuperar o controlo é doloroso. Finalmente, a falta de documentação e responsabilidade no início leva a confusão e pontos cegos à medida que as equipas crescem.»