Quando se fala em cibersegurança, pode se ter a impressão de que esse é um problema exclusivo das grandes empresas: grupos realizando sequestros de quantidade gigante de dados, prejuízos de milhões, a necessidade de lideranças e equipes dedicadas à segurança da informação, estratégias e frameworks com centenas de itens, além de tecnologias que pedem alto investimento.
Tudo isso faz parte, de fato, do cenário que as grandes empresas enfrentam hoje. Mas isso não quer dizer que as pequenas e médias empresas (PMEs), e até mesmo os microempreendedores individuais (MEIs), estão fora do radar dos ataques cibernéticos, nem que não possam e devam se proteger. Muito pelo contrário: as investidas criminosas a esse perfil de empresas têm crescido em escala similar às grandes. Entenda melhor os riscos atuais e também as estratégias possíveis para que as PMEs operem com segurança:
1. Não é porque não está nas manchetes que não acontece
“O que aparece, o que vai para a mídia são os ataques às grandes empresas ou entidades mais emblemáticas, então acaba gerando essa falsa percepção de que as pequenas e médias empresas não são alvos de ataques”, diz Andrea Liberman Salfatis, diretora de negócios para Pequenas e Médias Empresas da Microsoft. No entanto, a verdade é que o número de ataques tem crescido e, entre eles, um dos que mais crescem é aquele feito por e-mail malicioso – 300% de crescimento no último ano segundo estudo interno da Microsoft. “Nesse tipo de ataque, o objetivo é conseguir o maior número de alvos possível, e não necessariamente os alvos grandes, mas os mais suscetíveis.”
2. A digitalização acelerou para todos
Com a transformação digital acelerada pela pandemia, empresas de todos os portes precisaram se adaptar a uma maior vulnerabilidade. Enquanto as grandes já estavam mais preparadas, as pequenas ficaram mais expostas. “As pequenas, que historicamente não precisavam se preocupar tanto com segurança, carregam essa percepção de que não vão ser vítimas. Mas elas também tiveram que transformar seu método de trabalho e não necessariamente tinham as melhores práticas e políticas de segurança necessárias, e isso tudo dá uma brecha maior”, diz Andrea. Uma em cada quatro pequenas e médias empresas sofreu uma violação de segurança em 2021, segundo pesquisa quantitativa online feita pela Microsoft com mais de 150 pequenas e médias empresas americanas.
3. Ataques de oportunidade
Quando um ladrão assalta uma pessoa na rua, ele az uma checagem prévia para decidir o melhor alvo. “Ele vê quem está distraído, quem não está preparado e pega pela surpresa”, diz Marilia Blotta, gerente de produto de Modern Work & Security da Microsoft. “De certa forma, a cibersegurança funciona assim também. O ofensor não ataca só bancos. Há os que fazem essa pesquisa e são nichados, mas, em geral, o ataque se dá por oportunidade e as PMEs dão essa oportunidade, porque investem menos.”
4. Cuidar do básico não é caro
Isso quer dizer também que, para proteger uma pequena ou média empresa, em geral, não é necessário um investimento de milhões de reais. “O que vemos é que o cliente que investe no básico em segurança já não cai no ataque mais básico, enquanto os demais não investem em nada e caem no mais simples dos golpes”, diz Marilia. E o que é investir no básico? É cuidar de pessoas, processos e tecnologia, implementando as melhores práticas. “É fomentar uma cultura de segurança, porque você pode colocar toda tecnologia disponível, mas, no final do dia, a maior parte das brechas acontecem pela gente, como um funcionário que cai num phishing”, diz Andrea.
5. Cuidado ao investir logo após um ataque exige cuidado
Uma das razões que mais levam PMEs a investir em segurança, ter sofrido um ataque ou ter visto um parceiro ou concorrente sofrer, é também a raiz de um investimento malfeito. “Isso gera decisões emocionais que acabam virando ‘fogo de palha’: você investe na emoção, depois volta aquela sensação de falsa segurança e você baixa a manutenção. O ideal é prevenir e ter uma conscientização constante”, diz Andrea. “Ou a empresa sai investindo em diversas tecnologias diferentes e gastando mais do que devia sem estar mais protegido”, exemplifica Marilia.
6. O impulso da LGPD
Outro motivador é a Lei Geral de Proteção de Dados Pessoais, que estimulou a corrida pela proteção de dados. Se sua pequena ou média empresa lida com um volume alto de dados, ou dados considerados sensíveis, além dos ataques de oportunidade, ela está exposta aos ataques direcionados ao vazamento ou sequestro de dados, e precisa se proteger. Segundo estudo da Marsh, o custo médio de violação de dados é semelhante ao causado por incêndios ou desastres naturais: por volta de R$ 33 milhões, em 48 horas. “A proteção dos dados ficou ainda mais necessária. Um vazamento pode prejudicar a reputação de uma empresa deforma quase irreversível. Isso afasta cliente, parceiro, investidor”, diz Camilla Junqueira, Diretora Geral de Endeavor.
7. O impacto pode ser devastador
“Infelizmente, a gente tem uma cultura no Brasil de pagar para ver, e esse pagar para ver pode sair muito caro”, diz Marilia. Para as pequenas, mais do que para as grandes, o impacto de um ataque pode colocar em risco a sobrevivência do negócio. “O que temos visto é que 61% das pequenas empresas que tiveram algum tipo de ataque ficaram incapazes de operar, o que pode acarretar, sim, na falência.” Além do risco financeiro provocado pela paralisia das operações, um ataque pode ainda abalar a reputação e credibilidade da empresa, deixando-a ainda mais vulnerável.
8. Segurança é diferencial
Da mesma forma, porém, o investimento em uma boa estratégia de segurança pode reverter em diferencial de negócio. “Para trazer meu cliente, eu preciso provar para ele que estou seguro. Você vai colocar seus dados de cartão de crédito e informações pessoais na plataforma mais, ou menos, segura?”, provoca Andrea, da Microsoft. Além disso, nesse quesito, as grandes acabam puxando as pequenas, uma vez que fazem parte da mesma cadeia produtiva. “Com ‘scale-ups’, cada vez mais, fazendo negócios com grandes corporações, muitas delas pedem práticas mais institucionalizadas de segurança de informação. Não ter isso pode prejudicar potenciais contratos com esse tipo de empresa”, exemplifica Camilla, da Endeavor.
9. Vai empreender?
Os negócios que nascem agora também precisam de uma estratégia de cibersegurança. “Quando a gente fala de empresas que crescem em alta velocidade, elas naturalmente têm mais desafios de escala. Essas ‘scale-ups’ acabam deixando um rastro de vulnerabilidade maior, com problemas que precisam de atenção desde o dia 1 do negócio”, avalia Camilla. Pequenas e médias têm a oportunidade de implementar estratégias de privacidade e segurança “by design”, ou seja, na concepção dos produtos e serviços – uma tendência apontada por especialistas. Assim, as empresas desenvolvem-se em um contexto de cibersegurança desde o início das operações.
10. Organize sua estratégia de cibersegurança, independentemente do seu tamanho
Atitudes simples já podem garantir um ambiente digital mais seguro; confira alguns passos importantes:
- Mapeie toda a estrutura digital da sua empresa, listando os dispositivos eletrônicos, especialmente os ligados à internet, e todas as informações sensíveis (dados da empresa e dos clientes), armazenadas em nuvem ou servidor.
- Verifique e atualize constantemente todos os programas usados no seu negócio, inclusive os dedicados à proteção de máquinas e dados.
- Realize backups constantes dos seus dados mais críticos.
- Converse com seus colaboradores sobre atitudes que precisam ser evitadas, como abertura de e-mails ou links suspeitos ou acesso a sites pouco confiáveis. Explique os riscos potencialmente danosos que um simples clique pode causar e a responsabilidade de todos para garantir um ambiente digital seguro. Importante que essas conversas não sejam pontuais, mas uma prática que faça parte da cultura da empresa, ou seja, que ocorra com frequência, que as pessoas sejam constantemente capacitadas, e os processos e as ferramentas, atualizados para dirimir as áreas de vulnerabilidades.
Especial Cibersegurança
Promover conhecimento e compartilhar boas práticas para ajudar as organizações a reduzirem os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que contará com dezenas de reportagens, vídeos e podcasts sobre o tema. Outros conteúdos sobre o assunto também podem ser acessados no Security Series 2022, série de eventos voltados ao debate sobre as principais tendências e soluções para alcançar mais resiliência aos ataques cibernéticos. Conheça, ainda, insights sobre o modelo de confiança zero compartilhados por líderes de segurança de setores estratégicos do mercado.
Para saber mais sobre como a Microsoft pode apoiar a sua empresa, agende um horário com nosso time de especialistas.