De acordo com o Threat Report da Netscout para o segundo semestre de 2022, o Brasil ocupa o primeiro lugar no ranking de países com o maior volume de ataques cibernéticos na América Latina. Uma outra pesquisa realizada pela Datafolha também revela que 57% das empresas brasileiras enfrentam fraudes e ataques digitais com alta ou média frequência. Setores como saúde, educação e serviços financeiros são especialmente visados devido à manipulação de informações sensíveis de clientes e pacientes.

Enquanto as grandes empresas estão fazendo investimentos substanciais em cibersegurança, as pequenas e médias empresas lutam para acompanhar o ritmo. Quando surge uma oportunidade de aquisição por uma empresa maior ou um nova rodada de investimento por um fundo, essas empresas rapidamente ficam sob os holofotes e se tornam alvos vulneráveis.

Em projetos recentes de diligência de tech em áreas críticas como saúde e serviços financeiros, nossa equipe de engenharia de segurança conseguiu acessar os sistemas em questão em poucas horas, obtendo acesso a informações sensíveis como registros médicos dos pacientes e dados de funcionários. Esse tipo de vulnerabilidade não apenas viola as regulamentações de proteção de dados (LGPD), mas também abre portas para possíveis implicações legais, sem mencionar o impacto na reputação tanto da startup quanto do possível investidor.

Nesta situação, as equipes técnicas colaboraram intensamente e, em poucos dias, os problemas de segurança iniciais foram solucionados. Além disso, foi desenvolvido um processo mais robusto para enfrentar eficazmente vulnerabilidades de segurança no futuro.

E agora, como proceder?

Encontrar um parceiro para conduzir uma diligência de tecnologia é uma das abordagens mais eficazes durante um M&A ou investimento em uma empresa de tecnologia. Mesmo que sua equipe tenha um entendimento da solução, a complexidade do stack tecnológico e o volume de linhas de código são desafios inerentes. Além disso, a análise se concentra principalmente nos aspectos funcionais do código. O período de tempo limitado para essas avaliações, a disponibilidade de equipe interna e a necessidade de confidencialidade representam um desafio adicional.

Na Avalia, adotamos uma abordagem data-driven. Utilizamos ferramentas que se conectam aos sistemas de versionamento de código (como Git e Bitbucket), gestão de tickets e projetos (Jira, Trello etc), o que agiliza a análise e aumenta sua precisão. Por fim, todo o processo é conduzido no ambiente de desenvolvimento da empresa alvo, garantindo que o código-fonte não seja compartilhado com o investidor/adquirente, o que proporciona segurança quanto à proteção da propriedade intelectual no sell-side.

No aspecto específico de segurança, conduzimos revisões de código para apurar práticas de desenvolvimento seguro como uso de funções criptográficas, camadas de validação, gestão de dados sensíveis, entre outros. Verificamos o produto final das práticas com simulações de ataques ao software em ambiente controlado, permitindo ações corretivas e identificação antecipada de vulnerabilidades existentes, reduzindo os riscos para todos os stakeholders… saiba mais em Avalia 03/09/2023