Com o crescimento da implementação da tecnologia, as PMEs estão cada vez mais expostas a ameaças cibernéticas, que podem causar danos financeiros, operacionais e reputacionais. Entre as principais ameaças, Cláudio Roberto Soldera, diretor de comitê de dados & segurança cibernética, cita:
Malware: São programas maliciosos que podem infectar, danificar ou roubar dados de computadores, redes ou dispositivos.
Engenharia social: São técnicas que exploram a confiança, a curiosidade ou o medo das pessoas para obter informações sensíveis, como senhas, dados bancários ou credenciais de acesso.
Explorações de aplicativos da web: São ataques que aproveitam as vulnerabilidades nos aplicativos da web, como sites, e-commerce ou sistemas online, para injetar código malicioso, alterar conteúdo, roubar dados ou ganhar acesso não autorizado.
Ataques à cadeia de suprimentos: São ataques que visam comprometer os fornecedores, parceiros ou clientes de uma empresa, para afetar seus sistemas, dados ou operações.
Ataques de negação de serviço: São ataques que sobrecarregam os servidores ou redes de uma empresa com tráfego malicioso, impedindo que os usuários legítimos acessem seus serviços ou recursos.
Ataques man-in-the-middle: São ataques que interceptam a comunicação entre duas partes, para alterar, roubar ou manipular os dados transmitidos.
Com relação ao ransomware, que é um tipo de malware que criptografa os dados de uma empresa e exige um resgate para liberá-los. Ele pode causar perdas financeiras, interrupções operacionais e danos à reputação. Para proteger uma PME contra ataques de ransomware, Soldera enumera algumas das melhores práticas:
Atualizar o software regularmente: Uma maneira comum de o ransomware entrar e se espalhar em uma rede é explorando vulnerabilidades em softwares desatualizados. Por isso, é importante manter os sistemas operacionais, os aplicativos, os navegadores e os antivírus atualizados com as últimas correções de segurança.
Usar autenticação de dois fatores (2FA): A autenticação de dois fatores é um método que exige uma segunda forma de verificação, além da senha, para acessar uma conta ou serviço. Isso pode impedir que os invasores usem credenciais roubadas ou adivinhadas para acessar os dados da empresa. A 2FA pode ser feita por meio de aplicativos, SMS, e-mail ou dispositivos físicos.
Manter o e-mail interno seguro: O e-mail é um dos principais vetores de infecção de ransomware, pois os invasores podem enviar mensagens falsas com links ou anexos maliciosos. Para manter o e-mail interno seguro, é recomendável usar filtros de spam, verificar a origem e o conteúdo das mensagens, não clicar em links ou anexos suspeitos e denunciar e-mails fraudulentos.
Implementar a segurança de endpoints: A segurança de endpoints é a proteção dos dispositivos que se conectam à rede da empresa, como computadores, smartphones ou tablets. Esses dispositivos podem ser alvos ou portas de entrada para o ransomware. Para implementar a segurança de endpoints, é aconselhável usar soluções de antivírus, firewall, VPN e criptografia, além de restringir o acesso e o uso de dispositivos não autorizados ou pessoais.
Fazer backup de arquivos e dados: O backup é a cópia de segurança dos arquivos e dados da empresa em um local seguro e separado da rede principal. O backup pode ser feito em dispositivos físicos, como discos rígidos externos, ou em serviços de armazenamento em nuvem. O backup pode ajudar a recuperar os dados em caso de ataque de ransomware, sem precisar pagar o resgate. O backup deve ser feito regularmente, de preferência de forma automática, e testado periodicamente.
Usar um modelo Zero Trust: O modelo Zero Trust é uma abordagem de segurança que não confia em nenhum usuário, dispositivo ou rede, e verifica e monitora constantemente todas as atividades e transações. O modelo Zero Trust pode ajudar a prevenir, detectar e responder a ataques de ransomware, pois limita o acesso aos dados apenas ao necessário, isola os segmentos da rede, aplica políticas de segurança rigorosas e usa ferramentas de análise e inteligência artificial.
Os principais desafios de segurança cibernética enfrentados pelas PMEs em termos de orçamento e recursos os mais comuns na visão de Soldera:
Falta de recursos financeiros: As PMEs muitas vezes têm orçamentos limitados para investir em segurança cibernética, o que pode restringir as opções de soluções, ferramentas e serviços disponíveis. Além disso, as PMEs podem ter dificuldade para obter financiamento, crédito ou incentivos para melhorar sua segurança cibernética.
Falta de recursos humanos: Esses modelos de negócios geralmente não têm equipes dedicadas ou especializadas em segurança cibernética, o que pode dificultar o desenvolvimento e a implementação de estratégias eficazes. Além disso, as PMEs podem ter problemas para recrutar, treinar e reter profissionais qualificados em segurança cibernética.
Falta de conscientização e cultura de segurança: Essas empresas muitas vezes não têm uma visão clara dos riscos cibernéticos que enfrentam, nem das medidas de prevenção e proteção que devem adotar. Além disso, as PMEs podem não ter uma cultura de segurança cibernética entre seus funcionários, que são os principais responsáveis por seguir as políticas e as boas práticas de segurança cibernética.
Falta de padronização e conformidade: As PMEs podem ter dificuldade para seguir os padrões e as normas de segurança cibernética estabelecidos por órgãos reguladores, clientes ou parceiros. Além disso, as PMEs podem não ter processos e procedimentos adequados para monitorar, auditar e reportar sua segurança cibernética.
Falta de adaptação e inovação: Elas podem ter dificuldade para acompanhar as mudanças e as tendências do mercado e da tecnologia, que podem afetar sua segurança cibernética. Além disso, podem não ter capacidade para inovar e se diferenciar em termos de segurança cibernética.
Para superar esses desafios, as PMEs podem buscar soluções de segurança cibernética que sejam acessíveis, flexíveis, personalizáveis e escaláveis, que atendam às suas necessidades e expectativas. Podem buscar apoio de consultores, fornecedores ou parceiros especializados em segurança cibernética, que possam oferecer orientação, capacitação e suporte. Por fim, investir na conscientização e na educação de seus funcionários, clientes e stakeholders sobre a importância e os benefícios da segurança cibernética.
Implicações legais e regulatórias para PMEs em caso de violação de dados
A violação de dados é um incidente que expõe, altera ou destrói dados pessoais ou corporativos de forma não autorizada. A violação de dados pode afetar a privacidade, a segurança e os direitos dos indivíduos e das organizações. Soldera explica quais são as implicações mais importantes:
Sanções administrativas: Aquelas que violam os dados pessoais de seus clientes, funcionários ou parceiros podem ser punidas com sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD), que é a legislação brasileira que regula o tratamento de dados pessoais. As sanções administrativas podem incluir advertências, multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, bloqueio ou eliminação dos dados violados, suspensão ou proibição do tratamento de dados.
Ações judiciais: As PMEs que violam os dados pessoais ou corporativos de terceiros também podem ser alvo de ações judiciais movidas pelos indivíduos ou organizações afetados. As ações judiciais podem exigir indenizações por danos morais ou materiais, reparação de prejuízos, restituição de lucros cessantes, entre outras medidas. As ações judiciais podem ser baseadas em normas do Código Civil, do Código de Defesa do Consumidor, do Código Penal, entre outras.
Reputação e confiança: Além das consequências legais e financeiras, as que sofrem violação de dados também podem ter sua reputação e confiança abaladas no mercado. A violação de dados pode gerar desconfiança, insatisfação e perda de clientes, fornecedores e investidores, além de afetar a imagem e a credibilidade da empresa. Para evitar ou minimizar esses efeitos, devem comunicar a violação de dados de forma transparente, rápida e responsável, e demonstrar as medidas tomadas para remediar a situação e prevenir novos incidentes.
Como as PMEs podem implementar uma cultura de segurança cibernética eficaz entre seus colaboradores
Implementar uma cultura de segurança cibernética eficaz em pequenas e médias empresas (PMEs) é um processo que envolve vários elementos-chave. Soldera pontua algumas estratégias que podem ser úteis neste processo:
Conscientização: Primeiramente, é importante elevar a conscientização sobre a importância crítica da segurança digital para as PMEs, desmistificando a noção de que são menos suscetíveis a ataques cibernéticos.
Educação e treinamento: Desenvolva um programa de formação abrangente de sensibilização para a segurança que forneça conteúdos envolventes e interativos. A formação de sensibilização para a segurança é fundamental para o desenvolvimento cultural.
Liderança: A direção e os quadros superiores da organização devem levar a segurança a sério e trabalhar em conjunto para desenvolver mensagens de segurança positivas que filtrem para baixo através da organização.
Políticas de segurança robustas: Implemente políticas de segurança robustas, incluindo a aplicação de camadas adicionais de segurança de acesso, como autenticação em dois fatores e senhas fortes.
Verificação regular: Realize verificações regulares de todos os dispositivos conectados à rede em busca de ameaças.
Backups automatizados: Agende e automatize backups para proteger dados críticos.
