Parece tão bonita na vitrine, mas depois de vestir, que horror! O estilo, a cor e o tecido são legais, mas o caimento da peça é horrível, parece ter sido feita para outro tipo de corpo. Mangas muito longas que ultrapassam as mãos, ombros estreitos que não permitem mover-se e cintura no lugar errado. No mundo dos negócios, isso acontece quando uma empresa ocupa um espaço de escritório que não corresponde ao seu tamanho ou às suas necessidades.
Ele pode ser muito pequeno ou muito grande, faltar salas de reunião ou nem mesmo ter banheiros para o pessoal do turno da noite. As empresas talvez tenham de pagar por garagens muito grandes ou talvez não haja capacidade de rede suficiente para as tarefas de negócios.
Da mesma forma, uma empresa pode se sentir desse jeito em relação à maneira como aborda a cibersegurança. Pode ser difícil reconhecer o que é necessário para manter a empresa protegida e que está sendo usado um serviço ou uma solução inadequada para a sua finalidade. Nesse cenário, é essencial que os provedores de serviços de segurança compreendam e atendam às demandas específicas das empresas ao oferecer proteção a seus clientes.
Qual é o nível de proteção mais adequado?
Em pequenas empresas, com algumas dezenas de funcionários, e em empresas maiores, ambas com funções de cibersegurança centrais semelhantes, podemos nos confundir sobre o nível de proteção mais adequado. A única maneira de compreender as necessidades de cibersegurança de uma empresa, quando a própria empresa está confusa sobre o que deseja, é avaliar como funcionam seus negócios e a maturidade de sua TI. Isso ajuda a identificar as ferramentas específicas e o nível de personalização mais indicado a ela.
Imagine uma pequena empresa que produz e vende sua própria marca de roupas localmente e tem um escritório com 50 pessoas. A empresa está crescendo rapidamente: nos últimos dois anos, o número de funcionários praticamente dobrou. Várias pessoas são responsáveis pela compra de tecidos, bem como pelas vendas das roupas prontas para as lojas, mas elas quase nunca estão no escritório, pois trabalham remotamente ou em lugares diferentes.
Nesse tipo de empresa, a TI geralmente é terceirizada para um administrador de TI externo que fornece remotamente manutenção para o sistema de cibersegurança e de TI. Juntamente com a instalação dos aplicativos do Office e a compra de computadores corporativos, ele gerencia a proteção com a instalação de uma solução de segurança para novos dispositivos, a verificação de novas atualizações de programas e a garantia de que a proteção esteja sempre ativa.
A empresa não necessita de análises de incidentes detalhadas e ajustes de direitos de acesso de usuários para diferentes serviços. Sua infraestrutura pode incluir um rack de servidor ou, até mesmo, nenhum servidor local, em que tudo é armazenado na nuvem.
Existem vários outros motivos para que os clientes mudem o fornecimento da TI para provedores de serviços gerenciados (MSPs): de acordo com a Forrester, 28% das empresas com 100 ou mais funcionários que adquiriram software como serviço (SaaS) de um MSP relataram que “o atendimento ao cliente, o suporte e a experiência” foram os principais fatores de compra ao escolher essa opção (fonte: Forrester Analytics, Global Business Technographics® Security Survey, 2019).
Encontrando a opção ideal
Essa marca de roupas local poderia ser qualquer outro tipo de pequena ou média empresa: uma agência de publicidade, uma empresa de consultoria ou uma pequena editora. Independentemente de sua área de atuação, a abordagem é a mesma: para gerenciar a cibersegurança dessas empresas, os provedores de serviços devem oferecer uma solução barata e compacta pela nuvem, que exija o mínimo de recursos para instalação e gerenciamento, mas, ao mesmo tempo, forneça proteção para todos os dispositivos, desde os desktops na empresa até os celulares e tablets de funcionários remotos.
Vamos analisar o que uma grande empresa, com uma infraestrutura de TI bem estabelecida, espera e necessita da cibersegurança. Por exemplo, um revendedor on-line armazena e processa uma grande quantidade de dados confidenciais e usa diversos sistemas de CRM, ERP e atendimento ao cliente. Para atender a um ambiente assim complexo, deve haver um departamento de TI interno e um administrador de cibersegurança dedicado, ou uma equipe completa interna ou de um provedor de serviços, para protegê-lo.
Nessas organizações, a superfície de ataque é muito mais ampla. Elas usam mais aplicativos do que as empresas pequenas, o que aumenta a probabilidade de se tornarem vulneráveis, além de mais dispositivos, que podem ser comprometidos por softwares maliciosos infectando a rede. Trabalhar com muitos parceiros e prestadores de serviços também aumenta a vulnerabilidade da infraestrutura em relação a ataques à cadeia de fornecimento.
A tarefa de um gerente de cibersegurança, independentemente de ser um provedor de serviços ou um especialista interno, é fornecer proteção contra malware em cada um dos dispositivos. Ele também deve configurar a proteção de modo que garanta que todos os funcionários tenham acesso aos serviços necessários, de acordo com suas funções. Por fim, os administradores precisam de relatórios detalhados sobre o estado do sistema e, no caso de um incidente, eles devem conseguir detectar, analisar e responder a ele com rapidez.
Quais são os riscos das violações de dados?
Qualquer tempo de inatividade causado por um incidente ou uma violação de dados pode custar dinheiro, fidelidade dos clientes e reputação a uma empresa. As empresas de médio porte correm o risco de perder até US$ 120 mil como resultado de uma violação de dados, e grande parte desse valor será gasto com a resolução de danos à reputação e para pagar indenizações e multas. Embora nenhuma empresa de segurança de informações possa garantir 100% de proteção contra incidentes cibernéticos, o uso de ferramentas de proteção especializadas pode minimizar os danos e as consequências de um incidente.
Podemos supor com segurança que é improvável que uma pequena empresa pague muito por um serviço de segurança mais caro. Mas uma grande empresa que esteja buscando economizar e esteja usando um produto que não atende às suas necessidades irá, rapidamente, perceber o erro de suas escolhas. Para escolher o serviço adequado para seus clientes, os provedores devem analisar a maturidade da função de cibersegurança do cliente que, geralmente, está relacionada ao tamanho e à maturidade de toda a empresa.
À la Weodeo
Conversamos sobre isso com uma empresa francesa de serviços gerenciados: a Weodeo. O proprietário, Philippe Aymonod, disse: “Empresas menores têm consciência da importância da segurança da TI, e elas enfrentam muitas das ameaças cibernéticas enfrentadas por grandes empresas. Mas sem os mesmos recursos para lidar com elas. Consequentemente, elas esperam que seus parceiros ajam como consultores de segurança, conseguindo oferecer segurança simples e eficiente sem nenhum impacto sobre a produtividade.”
“Nós avaliamos o nível de proteção de nossos clientes de acordo com vários parâmetros: o nível de conscientização da empresa em relação à segurança e ao cenário das ameaças, a complexidade da infraestrutura do cliente e qualquer ponto específico relacionado aos negócios, equipamentos e futuros possíveis ajustes na estratégia”, completa Aymonod.
É igualmente importante que os provedores de serviços identifiquem suas próprias metas e recursos, como infraestrutura, recursos humanos e habilidades técnicas. Por exemplo, se os provedores trabalham apenas com serviços na nuvem (MSPs “nascidos na nuvem”) ou buscam acelerar a implementação em novos clientes e gerenciar com facilidade todos os clientes por meio de um único console, eles trabalharão melhor com a cibersegurança fornecida como um serviço que pode ser supervisionado em um console hospedado em nuvem.
Por outro lado, os provedores que desenvolveram suas próprias infraestruturas podem optar por uma solução gerenciada no local e concentrar-se nos clientes que têm infraestruturas de TI mais maduras e demandam uma proteção mais granular. É uma boa oportunidade fornecer serviços flexíveis para clientes mais exigentes, manter contratos de nível de serviços (SLAs) e ser um especialista aos olhos do cliente. Nesse caso, o prestador de serviços também precisa ter talentos apropriados na equipe para gerenciar a proteção avançada.
Qual abordagem é a melhor?
Existem vantagens nas duas abordagens. Os provedores de serviços que fornecem segurança em nuvem podem se concentrar em serviços em nuvem mais abrangentes e ampliar o portfólio para incluir PMEs que estão consumindo soluções de SaaS em índices crescentes. Os MSPs que trabalham com empresas de médio porte e têm suas próprias infraestruturas podem usar seus recursos para desenvolver serviços de segurança avançados e sob medida.
Embora você possa pensar que qualquer tipo de proteção de cibersegurança seja melhor do que nada, se ela não atender às necessidades da empresa, não faz sentido mudar para uma solução personalizada?