Oferecido por
Os detalhes sobre ataques cibernéticos a pequenas e médias empresas podem não ser muito divulgados, porém diversos relatórios e pesquisas do setor provam a dura realidade do cenário de segurança cibernética desse nicho no Brasil e no mundo. Um levantamento encomendado pela Keeper, em parceria com o Ponemon Institute, mostra que mesmo antes da pandemia as já PMEs eram alvos de golpes. Uma pesquisa da Roland Berger aponta que o Brasil superou o volume de ataques do ano passado apenas no primeiro semestre de 2021, com um total de 9,1 milhões de casos — levando em conta apenas os crimes de sequestro digital, ou ransomware. Este número de ocorrências coloca o país na quinta posição no ranking mundial, atrás apenas dos EUA, Reino Unido, Alemanha e África do Sul.
Neste artigo, apresento três razões pelas quais as PMEs são mais vulneráveis a ataques cibernéticos do que grandes empresas, juntamente com orientações para companhias mitigarem e prevenirem situações de risco:
1. Pensamento de que PMES são pequenas demais para atrair a atenção de cibercriminosos
As PMEs podem pensar que não serão alvos de invasores, mas ataques cibernéticos anteriores mostram que os agentes de ameaças não discriminam com base no tamanho de uma organização. Na verdade, entre 50% e 60% das pequenas e médias empresas sofrem algum tipo de ataque cibernético ou vazamento de dados todos os anos, de acordo com a PSafe. Eles estimam que três em cada quatro empresas tiveram informações confidenciais roubadas em algum momento.
No Brasil, das 6,4 milhões de empresas ativas, 99% são pequenos negócios, representando 30% do PIB brasileiro, conforme dados do Sebrae com o estudo Global Entrepreneurship Monitor (GEM). Ainda, tendo em vista a alta taxa de empreendedores no país, segundo o GEM, 52 milhões de brasileiros possuem um negócio próprio atualmente. As PMEs se tornam alvos dessa prática principalmente durante vazamentos de dados, como no caso recente do “mega vazamento” em um fórum on-line dedicado a comercialização de bases de dados, quando 223 milhões de brasileiros tiveram expostos dados básicos relativos ao CPF (nome, data de nascimento e endereço), fotos de rosto, score de crédito, renda, cheques sem fundo e outras informações financeiras, como imposto de renda de pessoa física, entre outros.
2. Adoção de serviços e aplicações baseadas em nuvem em um ritmo muito acelerado, sem o devido cuidado
Uma pesquisa recente da ManageEngine aponta que em 2021, impulsionado pela transição para o teletrabalho, houve maior adoção de serviços em nuvem, com 84% das empresas dizendo que seu uso e adoção aumentaram como um resultado da pandemia.
Embora a nuvem tenha salvado a continuidade dos negócios, adoções apressadas, falhas no cuidado com segurança e configurações incorretas de ambiente levaram a sérias brechas e convidaram os invasores a comprometer redes e dados. Garantir que apenas as pessoas certas tenham acesso aos recursos certos agora é ainda mais desafiador para as pequenas e médias empresas.
É mais difícil lembrar de senhas “fortes” e, em vez disso, proprietários e funcionários de PMEs podem criar senhas fáceis de lembrar e gravá-las em lugares como um caderno, aplicações ou uma planilha. Pior ainda, alguns podem reutilizar a mesma senha em todos os serviços e comprometer uma conta que depende de uma senha fraca. É tudo que um invasor precisa para se infiltrar na rede da organização.
Considere, por exemplo, aplicações de software como serviço (SaaS). Agora é comum que os funcionários usem várias aplicações de SaaS. Sem práticas eficazes de senha, esses sistemas podem se tornar pontos de entrada para invasores.
3. Falta de um time de segurança especializado
A falta de equipes especializadas e recursos é um problema antigo que continua a afetar a segurança cibernética. A equipe de TI em uma PME provavelmente lidará com várias responsabilidades — alguém que cuida das operações como backups, também pode gerenciar os desktops e laptops da equipe, além de garantir a segurança cibernética. Quando eles passam a maior parte do tempo garantindo que haja o mínimo de tempo de inatividade possível para qualquer sistema, é difícil focar na segurança. Além disso, pequenas e médias empresas geralmente não possuem departamentos responsáveis pela gestão de riscos nem possuem reservas financeiras para eventuais sinistros.
A melhor alternativa é ser proativo e tomar medidas para evitar incidentes de segurança adversos. Garantir que a empresa tenha a solução certa, sempre mantendo um backup dos arquivos mais confidenciais e aderindo às melhores práticas — como não abrir e-mails suspeitos ou navegar em sites não confiáveis — pode ajudar a combater ataques cibernéticos.
Este artigo foi produzido por Nayla Loik, consultora de produtos da ManageEngine.