Os ciberataques são um grande desafio para organizações de todos os tamanhos, mas as pequenas e médias empresas (PMEs) enfrentam ameaças distintas quando se trata de cibersegurança. Ao contrário das grandes empresas, muitas vezes elas não têm os recursos e a expertise para implementar medidas de segurança extensivas ou gerenciar soluções complexas, tornando-as alvos para atores mal-intencionados.
Para entender melhor as necessidades e tendências de segurança das PMEs, a Microsoft fez uma parceria com a Bredin, uma empresa especializada em pesquisa e insights sobre PMEs, para conduzir uma pesquisa focada em segurança para empresas com 25 a 299 funcionários. Ao compartilharmos os insights abaixo e as ações iniciais que podem ser tomadas para abordá-las, as PMEs podem encontrar práticas recomendadas adicionais para se manterem seguras no Kit Be Cybersmart.
Uma em cada três PMEs foi atacada
Com o aumento dos ciberataques, as PMEs são cada vez mais afetadas. Pesquisas mostram que 31% das PMEs foram vítimas de ciberataques, como ransomware, phishing ou violações de dados. Apesar disso, muitas PMEs ainda mantêm concepções errôneas que aumentam seu risco e vulnerabilidade. Algumas acreditam que são pequenas demais para serem alvos de hackers ou assumem que a conformidade equivale à segurança. É crucial entender que atores mal-intencionados representam uma ameaça para empresas de todos os tamanhos, e a complacência em cibersegurança pode levar a riscos significativos.
A Microsoft, em colaboração com a Agência de Segurança Cibernética e Infraestrutura (CISA) e a Aliança Nacional de Cibersegurança (NCA), delineou quatro práticas simples recomendadas para criar uma base sólida de cibersegurança: Usar senhas fortes e considerar um gerenciador de senhas; ativar autenticação multifator; Focar em reconhecer e relatar phishing; e certifique-se de manter seu software atualizado.
Ciberataques custam mais de 250 mil dólares em média às PMEs
Os custos inesperados de um ciberataque podem ser devastadores para uma PME e dificultar a recuperação financeira. Esses custos podem incluir despesas incorridas para esforços de investigação e recuperação para resolver o incidente e multas associadas à violação de dados.
Os ciberataques não apenas apresentam uma tensão financeira imediata, mas também podem ter impactos a longo prazo em uma PME. A confiança diminuída dos clientes devido a um ciberataque pode causar danos reputacionais mais amplos e levar a oportunidades de negócios perdidas no futuro.
É difícil antecipar o impacto de um ciberataque porque o tempo necessário para se recuperar pode variar de um dia a mais de um mês. Embora muitas PMEs sejam otimistas sobre sua capacidade de resistir a um ciberataque, algumas falham em estimar com precisão o tempo necessário para restaurar as operações e retomar as atividades normais de negócios.
As PMEs podem conduzir uma avaliação de risco de cibersegurança para entender as lacunas na segurança e determinar as etapas para resolvê-las. Essas avaliações podem ajudar as PMEs a descobrir áreas abertas a ataques para minimizá-las, garantir conformidade com requisitos regulatórios, estabelecer planos de resposta a incidentes e mais.
Planejar de forma eficaz e proativa pode ajudar a minimizar os custos financeiros, reputacionais e operacionais associados a um ciberataque, caso ocorra. Muitas organizações fornecem avaliações de autoatendimento, e trabalhar com um especialista em segurança ou provedor de serviços de segurança pode trazer expertise e orientação adicionais durante o processo, conforme necessário.
Para 81% das PMEs, IA aumenta a demanda controles de SI
O rápido avanço das tecnologias de IA e a facilidade de uso por meio de interfaces simples criam desafios notáveis para as PMEs quando usadas por funcionários. Sem as ferramentas adequadas para proteger os dados da empresa, o uso de IA pode levar informações sensíveis ou confidenciais a cair em mãos erradas. Felizmente, mais da metade das empresas que atualmente não usam ferramentas de segurança de IA pretendem implementá-las nos próximos seis meses para uma proteção mais avançada.
A segurança e a governança de dados desempenham um papel crítico na adoção e uso bem-sucedidos da IA. A segurança de dados, que inclui rotulagem e criptografia de documentos e informações, pode mitigar a chance de informações restritas serem referenciadas em prompts de IA. A governança de dados, ou o processo de gerenciar, entender e proteger dados, pode ajudar a estabelecer uma estrutura para organizar efetivamente os dados.
94% consideram a cibersegurança crítica para seus negócios
Reconhecendo a importância crítica da cibersegurança, 94% das PMEs a consideram essencial para suas operações. Embora nem sempre tenha sido considerada uma prioridade, dados os recursos limitados e a expertise interna, o aumento das ameaças cibernéticas e a sofisticação crescente dos ciberataques agora representam riscos significativos para as PMEs.
Gerenciar dados de trabalho em dispositivos pessoais, ransomware e phishing são citados como os principais desafios que as PMEs estão enfrentando. Para as PMEs que desejam começar com os recursos disponíveis para treinar e educar os funcionários, tópicos de segurança em Cybersecurity 101, Phishing e mais são fornecidos através do site de Conscientização sobre Cibersegurança da Microsoft.
Menos de 30% das PMEs gerenciam sua segurança internamente
Dados os recursos limitados e a expertise dentro das PMEs, muitas recorrem a especialistas em segurança para assistência. Menos de 30% das PMEs gerenciam a segurança internamente e dependem geralmente de consultores de segurança ou provedores de serviços para gerenciar as necessidades de proteção. Esses profissionais fornecem suporte crucial na pesquisa, seleção e implementação de soluções de cibersegurança, garantindo que as PMEs estejam protegidas contra novas ameaças.
Contratar um Provedor de Serviços Gerenciados (MSP – Managed Service Provider) é comumente usado para complementar as operações internas de negócios. Os MSPs são organizações que ajudam a gerenciar serviços de TI amplos, incluindo segurança, e servem como parceiros estratégicos para melhorar a eficiência e supervisionar as atividades diárias de TI.
Exemplos de suporte de segurança podem consistir na pesquisa e identificação de soluções de segurança adequadas para um negócio com base em necessidades e requisitos específicos. Além disso, os MSPs podem implementar e gerenciar a solução configurando políticas de segurança e respondendo a incidentes em nome das PMEs. Esse modelo permite mais tempo para as PMEs se concentrarem nos objetivos principais do negócio, enquanto os MSPs mantêm a empresa protegida.
80% devem aumentar gastos com Cibersegurança e Data Protection
Dada a importância crescente da segurança, 80% das PMEs pretendem aumentar os gastos com cibersegurança. Os principais motivadores são a proteção contra perdas financeiras e a salvaguarda dos dados de clientes e consumidores. Não é surpresa que a proteção de dados seja a principal área de investimento, com 65% das PMEs dizendo que é onde o aumento dos gastos será alocado, validando a necessidade de segurança adicional com o surgimento da IA. Outras principais áreas de gastos incluem serviços de firewall, proteção contra phishing, ransomware e proteção de dispositivos, controle de acesso e gerenciamento de identidade.
Priorizando esses investimentos nas áreas acima, as PMEs podem melhorar a postura de segurança e reduzir o risco de ciberataques. Soluções como Prevenção de Perda de Dados (DLP – Data Loss Prevention) ajudam a identificar atividades suspeitas e evitar que dados sensíveis vazem para fora da empresa, Detecção e Resposta de Endpoint (EDR – Endpoint Detection and Response) ajudam a proteger dispositivos e defender contra ameaças, e Gerenciamento de Identidade e Acesso (IAM – Identity and Access Management) ajudam a garantir que apenas as pessoas certas tenham acesso às informações adequadas.
68% das PMEs veem acesso seguro como desafio do remoto
A transição para modelos de trabalho híbridos trouxe novos desafios de segurança para as PMEs, e esses problemas continuarão à medida que o trabalho híbrido se tornar permanente. Com 68% das PMEs empregando trabalhadores remotos ou híbridos, garantir o acesso seguro para funcionários remotos é cada vez mais crítico.
Um significativo 75% das PMEs estão preocupadas com a perda de dados em dispositivos pessoais. Para proteger informações sensíveis em um ambiente de trabalho híbrido, é vital implementar soluções de segurança e gerenciamento de dispositivos para que os funcionários possam trabalhar com segurança de qualquer lugar.
Implemente medidas para proteger dados e dispositivos conectados à internet, incluindo a instalação imediata de atualizações de software, garantindo que aplicativos móveis sejam baixados de lojas de apps legítimas e evitando compartilhar credenciais por e-mail ou mensagem de texto, fazendo isso apenas por telefone em tempo real.