[ cibersegurança & resiliência digital ]
Estratégias práticas para proteger a sua startup das ameaças que derrubaram empresas multimilionárias
[O Seu Nome] — Especialista DFIR
// aviso
Todas as opiniões, perspetivas e recomendações expressas nesta apresentação são exclusivamente minhas e não representam as posições de qualquer empregador, organização ou entidade afiliada.
// sobre o orador
EXPERIÊNCIA
Cerca de 10 anos em Forense Digital & Resposta a Incidentes (DFIR)
Investigou casos que vão desde campanhas de ransomware empresarial até exploração de menores — em diversos setores e jurisdições
CERTIFICAÇÕES
Threat hunting • Análise de malware • Preservação de evidências • Contenção de incidentes
// confronto com a realidade
Dados de clientes, registos financeiros, propriedade intelectual, informação de colaboradores, sistemas de pagamento — tudo acessível pela internet
// caso real • fevereiro 2024
Ataque de ransomware ALPHV/BlackCat paralisou processamento de pagamentos nacional. Maior violação de dados de saúde da história dos EUA, afetando 1 em cada 3 americanos. Média no setor saúde: $9.77M
O que aconteceu: Atacantes acederam via credenciais comprometidas a um portal de acesso remoto Citrix sem autenticação multifator. O ataque de ransomware propagou-se por todo o ecossistema de pagamentos de saúde.
// caso real • maio 2024
Registos de clientes incluindo dados de pagamento, nomes, moradas e emails expostos e vendidos na dark web. Mais de 100 clientes Snowflake comprometidos através da plataforma cloud.
Causa raiz: Credenciais roubadas por malware infostealer foram usadas para aceder contas Snowflake sem MFA. Uma falha básica de controlo de segurança levou a uma violação massiva.
// caso real • outubro-novembro 2024
Hackers chineses patrocinados pelo Estado comprometeram AT&T, Verizon, T-Mobile e Lumen Technologies. Acederam a metadados de chamadas/SMS, dados de geolocalização e gravações áudio reais.
Lição: Até as maiores empresas com equipas de segurança dedicadas são vulneráveis. As ameaças de estados-nação são reais e afetam todos na cadeia de fornecimento.
// os números não mentem
das PMEs atacadas nos últimos 5 anos
aumento de ransomware Q1 2025 vs Q1 2024
dos incidentes envolvem erro humano
custo médio de um ataque de ransomware
// a verdade inconveniente
As startups são alvos preferenciais: equipas reduzidas, crescimento rápido, dados valiosos e frequentemente investimento mínimo em segurança. Uma única violação pode custar $120K a $1.24M — suficiente para acabar com uma startup antes de escalar.
// ato dois
As práticas fundamentais que toda a empresa digital precisa, a começar hoje
// fundamento #1
// fundamento #2
Não se pode proteger o que não se sabe que se tem. Comece com um inventário.
// fundamento #3
A violação Snowflake/Ticketmaster (560M registos) aconteceu porque o MFA não estava ativado. Este é o controlo de maior impacto que pode implementar.
Todas as contas de colaboradores
CLOUD
Consolas AWS, GCP, Azure
CÓDIGO
GitHub, pipelines CI/CD
Prefira chaves físicas (YubiKey) ou apps de autenticação. Evite 2FA por SMS sempre que possível.
// fundamento #4
Software desatualizado é o ponto de entrada #1. Vulnerabilidades em transferência de ficheiros (MOVEit 2023, Cleo 2025) propagaram-se por centenas de organizações.
// fundamento #5
Mentalidade zero-trust: nenhum utilizador, dispositivo ou aplicação é de confiança por defeito.
// fundamento #6
90% das maiores empresas de energia foram comprometidas via terceiros na cloud. Responsabilidade partilhada significa que a sua configuração é problema seu.
SUA RESPONSABILIDADE
RESPONSABILIDADE DO FORNECEDOR
// fundamento #7
Código inseguro é uma porta aberta. Mova a segurança para a esquerda no SDLC.
// fundamento #8
Phishing, palavras-passe fracas, sistemas mal configurados, exposição acidental de dados. A tecnologia sozinha não resolve — é preciso uma cultura de segurança.
Formação regular • Simulações de phishing • Canais de reporte claros • Cultura sem culpa
// ato três
Não vai conseguir travar todos os ataques. A resposta a incidentes é como se limita o estrago quando um passa.
// resposta #1
Quando uma violação acontece, o pânico é o inimigo. Um plano documentado é a diferença entre 4 horas de resposta e 4 semanas de caos.
// resposta #2
Não se detetam anomalias sem conhecer a baseline. Tempo médio para identificar uma violação: ~200 dias (divulgação pelo atacante pode exceder 300 dias).
// resposta #3
A velocidade importa. Cada minuto de acesso não contido é mais dados perdidos, mais sistemas comprometidos.
CURTO PRAZO
LONGO PRAZO
// resposta #4
A forma como comunica durante uma violação define a sua reputação depois dela. O silêncio é a pior estratégia.
// resposta #5
A violação foi contida. Agora garanta que nunca acontece da mesma forma.
// do terreno
> após quase 10 anos de DFIR_
As empresas que sobrevivem a violações não são as que têm os maiores orçamentos. São as que praticaram antes de ser real, que tinham uma lista de contactos que realmente funcionava, que sabiam onde estavam os seus backups, e que trataram a segurança como responsabilidade de todos — não apenas da equipa de TI.
Cada violação que investiguei teve pelo menos um momento em que uma prática básica, se seguida, a teria impedido.
// ato quatro
Uma abordagem prática e faseada que qualquer startup pode seguir — sem necessidade de grande orçamento
// roteiro • semana 1-2
Email, cloud, repositórios de código, painéis de administração — sem exceções
Em toda a empresa. Eliminar a reutilização de palavras-passe imediatamente
Listar cada dispositivo, aplicação, serviço cloud e repositório de dados
// roteiro • semana 3-4
Regra 3-2-1-1: 3 cópias, 2 tipos de media, 1 offsite, 1 imutável/air-gapped. Testar restauros.
EDR em todos os dispositivos da empresa — detetar ameaças cedo
SPF, DKIM, DMARC — bloquear spoofing e phishing na origem
// roteiro • mês 2
Reconhecimento de phishing, engenharia social, manuseamento seguro de dados
Quem tem acesso a quê? Remover contas inativas. Aplicar privilégio mínimo.
Buckets S3 públicos? Portas abertas? Credenciais por defeito? Encontrar e corrigir.
// roteiro • mês 3
Documentar papéis, contactos, procedimentos. Realizar um exercício tabletop.
A sua segurança é tão forte quanto o seu terceiro mais fraco.
Acompanhar taxas de patching, tempos de resposta a incidentes, conclusão de formações.
// vamos falar de dinheiro
Compare com o custo médio de $120K–$1.24M de uma única violação para uma PME. A segurança paga-se a si própria. O ROI é claro.
// sem orçamento? sem desculpa
PALAVRAS-PASSE
Bitwarden (versão gratuita)
ENDPOINT
Microsoft Defender (integrado) / Wazuh XDR (open-source)
SEGURANÇA EMAIL
SPF/DKIM/DMARC (configuração gratuita)
SCANNING DE CÓDIGO
GitHub Dependabot / Snyk Free / Semgrep
AUDITORIA CLOUD
Prowler (open-source) / AWS Security Hub
FORMAÇÃO
KnowBe4 Gratuita / recursos CISA
// escalar a segurança
FASE INICIAL
Liderança de segurança a tempo parcial. Estratégia sem o salário a tempo inteiro.
CRESCIMENTO
Monitorização 24/7, resposta a incidentes e suporte de conformidade.
ESCALA
Engenheiro(s) de segurança dedicados. Responsabilidade total pelo programa de segurança.
// ato cinco
As ameaças estão a evoluir. As suas defesas também devem.
// a faca de dois gumes
AMEAÇA
ESCUDO
// conformidade não é opcional
RGPD
Notificação de violação em 72 horas. Multas até 4% da faturação global.
NIS2
Diretiva europeia — âmbito alargado, gestão de risco obrigatória, segurança da cadeia de fornecimento.
DORA
Setor financeiro — gestão de risco TIC, reporte de incidentes, testes de resiliência.
Mesmo que não se apliquem hoje, os seus investidores e clientes empresariais vão perguntar sobre conformidade.
// a sua checklist para segunda-feira
// vamos conversar
Nenhuma pergunta é demasiado básica. A única má pergunta é aquela que só se faz depois da violação.
// obrigado
[O Seu Nome] — Especialista DFIR
OSCP • GCFA • ~10 anos de experiência em DFIR