A PhishX treina colaboradores de empresas para que identifiquem ciberataques antes de “morderem a isca”

Marina Audi - 8 out 2018
Os sócios da PhishX: Pedro Ivo, CEO, Roger Oliveira, Head de Vendas, e Pedro Vieira, CTO.
Marina Audi - 8 out 2018
COMPARTILHE

O mundo digital possibilita conexões antes inimagináveis, mas tem também suas armadilhas, como por exemplo, o phishing (do inglês, pescaria), um método de ataque que disfarça conteúdo malicioso para induzir o destinatário a clicar em um link, abrir um anexo, instalar uma aplicação danosa ou fornecer informações confidenciais — seja usando um notebook da empresa ou em casa com uma TV com acesso à internet. Foi pensando em oferecer esclarecimentos sobre o assunto e, assim, diminuir os ataques cibernéticos e as perdas das empresas e das pessoas que dois amigos fundaram a PhishX, uma plataforma SaaS que simula ameaças cibernéticas, treina pessoas, enquanto mede e analisa os resultados, reduzindo os riscos de segurança cibernética.

A ferramenta tem uma mecânica semelhante a de soluções de disparo de e-mail marketing. Ela trabalha a educação das pessoas através de comunicação variada por meio de: simulação de mensagem maliciosa, envio de pílulas de conhecimento, treinamentos e um sistema automatizado de identificação e denúncia de mensagens suspeitas. O conceito é transformar os funcionários, colaboradores, fornecedores e parceiros em verdadeiros “sensores humanos de segurança digital”. Isso ajuda as empresas e, consequentemente, as próprias pessoas. Pedro Ivo, 38, CEO da startup fala mais a respeito:

“Com o celular, por exemplo, podemos tirar foto, filmar, acessar o e-mail corporativo e pessoal. Daí vem a necessidade de abordarmos a cibersegurança de forma mais holística”

É bom diferenciar, pois muita gente confunde phishing com spam (forma de envio de e-mail em massa que pode ser bloqueada, facilmente, pelas ferramentas de anti-spam e filtro da internet). Já o ataque direcionado para certo grupo de pessoas, chamado de spear phishing, praticamente, nenhum sistema de anti-spam consegue bloquear. Por isso, é preciso que a própria pessoa o identifique e decida não morder a isca.

Acima, um resumo de como funciona o sistema da PhishX.

“As comunicações online, como e-mails e SMS, são os vetores mais usados em ameaças de segurança cibernética”, conta Pedro, então, quanto mais pessoas são treinadas, menos perdas financeiras ocorrem”. Ele diz que as ameaças podem vir de vários outros caminhos: WhatsApp, Telegram, Slack ou mesmo um site.

Por isso, não adianta mais a corporação cuidar apenas do equipamento usado no horário de trabalho. “Hoje, usa-se o equipamento pessoal para trabalhar e o equipamento profissional para ver coisas pessoais. O equipamento é apenas um meio de acesso temporário. No entanto, os rastros ficam registrados e é preciso ter ciência disso. A gente trabalha para dar essa noção às pessoas”. Assim, a lógica da solução da startup é informar que, como receptor de uma mensagem, o colaborador tem de tomar cuidado com o que vai abrir.

A plataforma da PhishX é integrada ao sistema da empresa-cliente para ter acesso ao endereço de e-mail dos funcionários e permitir o acompanhamento do nível de resposta. Em geral, o gestor da área de TI, acessa a plataforma em uma espécie de painel de controle. Ali, ele importa os endereços de e-mail dos alvos, decide quando e qual é o conteúdo da campanha. Há mais de 1 000 opções, em seis idiomas, a serem disparadas pelo motor da startup para diferentes meios (endereço eletrônico, SMS etc). O gestor ainda pode parametrizar quais métricas estarão visíveis nos dashboard de controle e qual layout o usuário enxergará na plataforma de treinamento, pois o sistema é white label e pode ou não conter o logotipo da PhishX. Quando a mensagem é aberta pelo usuário, o sistema extrai informações como: geolocalização, qual equipamento está sendo utilizado e qual foi o usuário.

COMO AJUDAR EMPRESAS A ESCAPAREM DE CIBERATAQUES

Em dezembro de 2014, o cearense Pedro Ivo e o paraense Pedro Vieira, 36, CTO, eram sócios da extinta Accentix — sediada em São Paulo, especializada em soluções de segurança — e tiveram a ideia de construir um produto que mesclasse uma plataforma para empresas, oferecendo cibersegurança e treinamento de pessoas. Eles já atuavam nesse mercado há muitos anos, e tinham a noção de que o produto poderia interessar a grandes corporações e deveria ser vendido por canais, em esquema de parcerias e revendas, mantendo uma estrutura própria enxuta — apenas três pessoas.

Vieira desenvolveu um MVP e Ivo foi testá-lo no mercado com alguns clientes. Em abril de 2015, tiveram o primeiro faturamento e fecharam o ano com mais de 25 clientes. Ivo conta: “Na época, a PhishX não pagava minhas contas pessoais. A gente fez a tese de validação trabalhando na operação de outra empresa. Em 2016, quando chegou o momento em que tivemos certeza da viabilidade do produto e de que era preciso nos dedicarmos exclusivamente ao projeto, saímos para montar uma empresa independente”.

O CEO advoga a favor das técnicas de lean startup, ou seja: validar no mercado com o cliente, verificar se tem fit para, depois, abrir um CNPJ. Ele recomenda que se aprenda primeiro para depois ter os custos fiscais:

“Sugiro ao empreendedor aprender e trabalhar de casa. Se tiver um emprego, mantenha-o e valide o projeto fora do horário comercial”

Para a PhishX deu certo. Eles fecharam 2016 com mais de 100 clientes. No momento, há mais de 200 empresas usando a plataforma e pagando um ticket médio de 50 mil reais por ano, que varia de acordo com o número de usuários contratados.

ACEITAR O ERRO E SEGUIR EM FRENTE FAZ PARTE DO CRESCIMENTO

Claro que nem tudo é um mar de rosas na jornada de empreendedores. Sempre há mais para aprender. Ivo brinca: “Se eu for listar os erros que cometemos, vou ficar mais duas horas falando! A gente erra direto em aspectos de produto, abordagem comercial, precificação, gestão de pessoas, negociação”. Ele continua:

“Aceitamos o erro como uma coisa natural. Não ficamos caçando o culpado, mas buscamos a solução imediatamente para melhorar nosso produto”

O CEO compartilha um aprendizado que pode ser valioso para empreendedores que pretendem prestar serviço ou vender produtos para grandes empresas: tentar acelerar o timing de retorno do cliente não dá certo. Ele afirma: “Startups têm necessidade de fechamento de negócio de forma rápida e o mais rentável possível. Sempre queremos muita celeridade e tudo para ontem, não porque somos ligeirinhos. É pela questão de gestão de caixa e de retorno para os investidores. Mas cada cliente tem seu timing de processos internos, então, temos que usar técnicas inteligentes”. Ele diz ainda que o ciclo de venda da PhishX é longo, durando em média três meses.

O ticket médio pago pelas empresas que usam a PrishX é de 50 mil reais por ano.

Ivo traz dois exemplos, aparentemente simples, para reduzir ruídos. Primeiro, sugere que as propostas — desde a primeira composição, que ele chama de “cheiro de preço” ou estimativa de custo — não sigam com prazos em aberto, para evitar a tendência da empresa maior fazer caixa em cima do fornecedor menor. “Não existe nenhum processo que demore mais de 90 dias para um cara dizer que tem de pagar outro cara. Em um jogo entre empresas grandes isso funciona, mas entre uma empresa muito grande e uma pequena, isso não é ganha-ganha. É perde-perde. Então, a gente tenta fazer isso de forma elegante. Tem de colocar a validade da proposta e o prazo de pagamento.”

Em segundo lugar, Ivo conta que uma opção acertada foi terem colocado todos os contratos no modelo de adesão. Isso porque somente a minoria das empresas tem um fluxo operacional jurídico contratual 100% online. No fluxo em papel, muitas vezes, a assinatura do executivo demora a ser obtida. “A gente já deixa todos os contratos online (serviço, termos de uso, política de privacidade e GDPR) para o cliente consultar e tentar evitar os processos de assinatura longos, que atrapalham o nosso fluxo de caixa e a entrega de serviço. Aprendemos apanhando muito”, completa ele.

O INÍCIO FOI SOFRIDO, MAS ELES JÁ ALCANÇARAM MERCADOS INTERNACIONAIS

Após dois anos de empresa, Viera já desenvolveu grande parte da estrutura que sustenta a plataforma. Segundo ele, a base tecnológica do software foi definida lá atrás para conseguirem fazer as novas funcionalidades de forma eficiente e com pouco gasto de energia. “Trabalhamos com o mesmo stack de tecnologia defendido pelo WhatsApp. Por isso, a gente consegue desenvolver novos módulos de forma rápida e ágil com a nossa pequena equipe.” Vieira diz ainda que o início foi mais sofrido, para tirar o produto do zero, mas, agora, faz módulos adicionais em sprints rápidos, sem precisar reescrever tudo.

Uma das funcionalidades da plataforma é o PhishX Report, em que o usuário pode checar a segurança de uma mensagem recebida.

Atualmente, o atendimento ao cliente, atividade dividida com outros 22 parceiros e revendedores que estão na ponta (entre eles PWC, Ernst & Young, Cipher, Arcon, Nec, que utilizam o software embarcado na aplicação do serviço delas), é o que consome mais tempo. Os parceiros fazem o suporte inicial, enquanto Ivo e o paulista Roger Oliveira, 30, Head de Vendas e que se tornou sócio do negócio em 2017, ficam focados no atendimento a contas estratégicas. “Pra mim, o CEO de startup tem de fazer três coisas: vender, vender e vender”, diz Ivo. Ele prossegue:

“O CEO tem que vender a empresa para os clientes fecharem contratos, para profissionais, atraindo talentos, e para investidores para conseguir acelerar o negócio”

A startup segue praticamente sozinha no mercado nacional. Segundo os empreendedores, os clientes locais levaram a plataforma para operações globais. Com isso, a startup tem clientes nos Estados Unidos, Chile, Argentina, Uruguai, Paraguai, Londres, Dubai, Austrália, África e Oriente Médio. Mesmo assim, os sócios não descuidam nem descolam os olhos dos concorrentes estrangeiros. Fazem eventos bimensais, PhishX Summit para reunir os principais executivos, empreendedores e profissionais do mercado latino-americano de cibersegurança, tecnologia e inovação, com a finalidade de debater e trocar experiências sobre as boas práticas e novidades e fidelizar a rede de parceiros. Assim, pretendem continuar a crescer.

DRAFT CARD

Draft Card Logo
  • Projeto: PhishX 
  • O que faz: Pataforma que cria o hábito de cibersegurança nos negócios
  • Sócio(s): Pedro Ivo, Pedro Vieira e Roger Oliveira
  • Funcionários: 75 indiretos (parceiros que revendem e/ou representam os produtos)
  • Sede: São Paulo
  • Início das atividades: 2016
  • Investimento inicial: R$ 500.000
  • Faturamento: 200 empresas clientes
  • Contato: contact@phishx.io
COMPARTILHE

Confira Também: