top of page
Buscar

Pequenas e Médias Empresas e os Riscos à Segurança da Informação

Atualizado: 10 de dez. de 2024


Pequenas e Médias Empresas e os Riscos à Segurança da Informação

Um Cenário Nada Promissor

No ano de 2021, as empresas de pequeno e médio porte (43% do total de empresas) foram as mais atacadas por golpes Ransomware (dados da Forbes).


Isto porquê têm menos recursos para investimento e falta de profissionais especializados em segurança.


Os ataques Ransomware não crescem somente em números, mas também vêm aumentando os prejuízos/custos financeiros e de reputação das empresas e organizações.


Apesar desse prospecto ameaçador - onde as ameaças à segurança cibernética seguem crescendo, 70% dos executivos acreditam que o capital disponível para investimentos em gerenciamento de riscos vai diminuir.


Dados sobre Ataques Cibernéticos em Pequenas/Médias Empresas

De acordo com o relatório de Cybersegurança do Instituto Ponemon:

  • De 2020 para 2021, houve um aumento de 50% nos ataques cibernéticos à redes corporativas

  • 45% dessas empresas afirmam que seus processos não são eficientes para mitigar ataques

  • 66% dizem ter sofrido ao menos 1 ataque por ano

  • As formas de ataque mais comuns nessas empresas são: Phishing/Engenharia Social (57%), Dispositivos Roubados/Danificados (33%) e Roubo de Credenciais (30%)

  • Em um estudo da CISCO, 40% dessas empresas ficaram no mínimo 8 horas com os serviços parados devido à ataques de Negação de Serviço (DoS e/ou DDoS)

  • 83% delas não estão financeiramente preparadas para se recuperar de um ataque


Os Riscos de Saber e não Agir

Apesar de estarem sendo cada vez mais atacadas e de terem um conhecimento básico dos riscos e principais incidentes, essas empresas parecem não dar à isso a importância devida.


Uma das principais causas de terem se tornado vítimas “fáceis” é justamente a percepção de que não serão alvo dos criminosos - assumem que ataques cibernéticos majoritamente buscam atacar empresas de grande porte.


A grande maioria delas (91%) não faz seguro contra déficits de segurança (cyber liability). Quase metade delas (43%) nem ao menos têm um plano de mitigação em face de ataques, ou um profissional especializado trabalhando no local...


O Problema de Começar Errado

Há um ditado que diz “Pau que nasce torto, morre torto”. Isso quer dizer que quando não há uma boa fundação - uma base sólida, tudo que se constrói posteriormente vai ruir facilmente.


Pequenas empresas nascem de grande esforço - e muitas vezes às custas de endividamento. Por muitos meses, podem nem ter lucros. Ainda mais no Brasil...


Tendem a priorizar o gerenciamento de demanda/reposição de estoque, a parte logística, os custos/encargos trabalhistas, etc.


Entretanto, todos os dados que são acumulados com esses processos são vistos apenas como números em uma planilha do Excel, um simples arquivo...


Pequenas Falhas geram Grandes Riscos

Muitas vezes os malfeitores não precisam fazer grandes esforços para conseguirem acesso à dados ou à redes, outros nem têm expertise técnico.

Mais fácil é explorar falhas/vulnerabilidades conhecidas, e é por aí onde começam. Por falta de informação e ações de conscientização, muitos funcionários ainda caem nos golpes de Phishing.


Outros deixam suas credenciais anotadas em post-its grudados na mesa/monitor, ou jogam papéis contendo dados sensíveis na lixeira, sem o correto descarte.


Essas “pequenas” falhas são grandes riscos e podem acarretar danos irreparáveis, como levar a empresa à falência. Leia nosso Post sobre Dumpster Diving!


Principais Pontos Fracos que são Explorados:

  • Equipamentos novos que permanecem com configurações e senhas padrão (default)

  • Criação e uso de senhas fracas, óbvias ou padrão (como “Admin”)

  • Falta de uma Política de Segurança, estabelecendo (e reforçando) boas práticas

  • Falta de treinamento e ações de conscientização da equipe

  • Falta de estabelecimento de regras de acesso e privilégios

  • Falta de gerenciamento de patches de segurança e atualização de softwares


Pequenas Mudanças trazem Grandes Resultados

Geralmente as pessoas entendem investimento como sendo um custo. Essa visão faz com que não dêem prioridade suficiente a coisas que consideram menos importantes.


Gastar com ferramentas de segurança (softwares, firewalls), contratar um profissional capacitado, manter os equipamentos e aplicações atualizados - sim, tudo isso gera um custo.


Mas são investimentos, isto é, um dinheiro gasto em materiais/recursos que certamente vai prevenir perdas e que pode evitar gastos/prejuízos inesperados no futuro. É uma forma de minimizar potenciais riscos.


Para pequenas e médias empresas, é importante reduzir custos onde e como for possível. Mas quando se trata de segurança cibernética e da informação, pequenas medidas e a adoção de melhores práticas pode fazer muita diferença.


Boas Práticas para Pequenas e Médias Empresas

  • Estabeleça uma Política de Segurança clara e objetiva, e reenforce a importância de adotá-la e saber usar e aplicá-la corretamente

  • Eduque e conscientize as equipes quanto aos riscos de segurança - promova workshops e pequenas palestras sobre os golpes aplicados pela Engenharia Social

  • Crie uma política de segurança de credenciais - enfatizando a importância de senhas fortes, e estabeleça um número máximo de tentativas de login

  • Mantenha os serviços usados na rede local acessíveis/disponíveis somente quando necessários

  • Escolha um profissional capacitado (de preferência especialista em Cyber Segurança) para organizar os privilégios de acesso, fazer o “hardening” do sistema e da rede local

  • Mantenha backups atualizados de dados e arquivos, e sempre tenha no mínimo um backup offline

  • Softwares, aplicações e sistemas operacionais precisam estar sempre rodando com as últimas atualizações e patches de segurança

  • Use um bom serviço de VPN, para manter o acesso remoto à rede e as transferências de dados mais segura

  • Fique sempre atualizado sobre as principais cyber ameaças e suas tendências. Dicas para pequenas empresas podem ser encontradas no website da NIST (National Institute of Standards and Technology)


NOS VEMOS NOS PRÓXIMOS POSTS!


Sites pesquisados: https://www.forbes.com/sites/chuckbrooks/2022/01/21/cybersecurity-in-2022--a-fresh-look-at-some-very-alarming-stats/?sh=64633c856b61; https://cybersecurity-magazine.com/10-small-business-cyber-security-statistics-that-you-should-know-and-how-to-improve-them/

2023 - Criado e Desenvolvido por TheWebGuardian - Blog Informativo sem fins lucrativos.

bottom of page