Apenas 16 % das Pequenas e Médias Empresas (PME) se sente muito bem preparada para um potencial ataque, ao passo que 92 % reconhece a ameaça que o cibercrime representa e 43 % viveu um ataque nos últimos dois anos.
O problema não parece então residir na ameaça do desconhecido, mas antes numa falta geral de tudo o que é preciso para que uma empresa se defenda das ameaças informáticas: bons orçamentos, pessoal qualificado, uma estratégia de defesa aceitável e uma infraestrutura de segurança de IT.
Faltando estes elementos, uma PME torna-se um alvo potencial, mais fácil do que organizações maiores, que têm normalmente mais recursos. Além disso, os cibercriminosos também tendem a usar as PME para ganhar acesso às grandes organizações.
Assim, não é apenas a prevenção de ataques que pode estar dificultada para as PME, que, devido à falta de recursos, podem efetivamente ter mais dificuldade em lidar com um ataque bem-sucedido — e isto inclui a gestão da reputação, lidar com as entidades reguladoras (e a necessidade de saber se, quando e como comunicar um incidente), juntamente com a forma de comunicar eficazmente os problemas aos clientes, parceiros e fornecedores, etc.
Quando se consideram estes pontos, é mais fácil perceber
como as PME podem ter dificuldades em lidar com consequências dos ciberataques — tais como a perda de confiança dos clientes, danos de reputação, e perdas financeiras.
Ameaças à segurança das PME
Uma abordagem comum utilizada pelos cibercriminosos num ciberataque a uma PME é a exploração de vulnerabilidades nos seus sistemas, quaisquer que elas sejam, tais como entrar a partir de um software sem atualizações de segurança. Utilizando diferentes métodos e tecnologias, os hackers tiram partido destas vulnerabilidades para atacar os seus sistemas informáticos. As estratégias passam por utilizar vírus que podem assumir secretamente o controlo dos seus sistemas, espiar os seus dados e atividades sensíveis, ou permitir que os criminosos lhe roubem dinheiro ou recursos. Frequentemente associado a esta situação está o pedido de um resgate para recuperar os seus dados ou para que os seus sistemas informáticos bloqueados voltem a estar operacionais.
Uma forma muito comum de ataque cibernético é a engenharia social. Neste caso, são exploradas características humanas, como a confiança ou o respeito. Os cibercriminosos far-se-ão passar por pessoas respeitadas ou com autoridade, por forma a obter informações sensíveis através dos seus colaboradores.
Práticas internas descuidadas também podem deixar informações sensíveis nas mãos de pessoas não autorizadas, como a utilização de palavras-passe frágeis ou notas/lembretes utilizados no escritório que podem ser facilmente lidos ou roubados.
Prevenir é melhor que remediar
Se este rol vasto de ameaças cibernéticas potenciais pode parecer intimidante, compreender o comportamento de um criminoso e as potenciais vulnerabilidades do seu negócio pode ser meio caminho andado para planear o seu esforço de defesa.
Em primeiro lugar, coloque o tema da cibersegurança no topo das prioridades e faça dela um ponto da agenda da direção — porque não só as consequências de um ataque cibernético podem afetar toda a organização, como também existem sanções graves ao abrigo da
NIS 2 e do
RGPD. Por conseguinte, é importante que a equipa sénior seja imediatamente informada de qualquer ataque deste tipo e supervisione as defesas e a mitigação. Além disso, deve estar preparado e ter um plano para o pior cenário possível, no caso de ser vítima de um ataque.
No entanto, a menos que seja um especialista em cibersegurança e saiba como implementar medidas (como a gestão de patches), uma política de gestão de palavras-passe ou de autenticação multifatores, terá de encontrar um parceiro de segurança de IT, profissional e de confiança, para estar ao seu lado. Este parceiro saberá que medidas tomar para evitar que um ataque seja bem-sucedido.
Glossário:
Gestão de patches: garantir que o software da sua empresa está sempre atualizado com patches (ou atualizações, conhecidas por este nome porque colmatam lacunas na segurança ou desempenho) logo que estejam disponíveis para garantir a proteção contra as ameaças mais recentes.
Política de gestão de palavras-passe: pode definir, por exemplo, a extensão mínima das palavras-passe, ou a redefinição forçada de palavras-passe em períodos regulares, etc.~
Autenticação multifator: pode incluir uma combinação de métodos de autenticação, tais como palavra-passe/PIN, um código enviado para um smartphone, e impressão digital ou reconhecimento facial.
Considerações legais
Além de proteger as operações da sua própria organização, também deve ter em conta a proteção dos dados que armazena dos seus clientes e parceiros, bem como aderir a todos os regulamentos relevantes em matéria de dados e cibersegurança, como a NIS 2 e o Regulamento Geral sobre a Proteção de Dados (RGPD).
Embora o RGPD esteja em vigor desde 2018 e esteja firmemente implantado na mudança coletiva, a diretiva atualizada da UE relativa à segurança das redes e da informação — a NIS 2 — entrou em vigor a 16 de janeiro de 2023, e as novas regras serão consagradas na legislação de todos os estados da UE até outubro de 2024. Nesse sentido, é preocupante que
apenas um terço (34 %) das organizações estejam preparadas para o efeito.
Se os dados pessoais se perderem ou forem roubados e não existirem salvaguardas adequadas, tal pode resultar em coimas substanciais e numa perda de reputação e de confiança.
Devo subscrever uma apólice de seguro cibernético?
As consequências financeiras de um ataque informático podem, sem dúvida, ser extremamente dispendiosas.
As pequenas empresas gastam, em média, 955 mil dólares por ataque para restaurar as suas operações normais, um custo que poucas PME podem assumir sem afetar seriamente as empresas.
Apesar disso, muitas PME ainda não possuem qualquer tipo de cibersegurança. No Reino Unido, por exemplo,
56,2 % das médias empresas, 40 % das pequenas empresas e 16,8 % das microempresas requereram uma apólice de seguro cibernético em 2022.
Tendo em conta o cenário de ameaças em evolução constante, é hoje muito recomendável ter uma apólice de seguro cibernético, que ajudará as organizações a cobrir os enormes custos de um ataque cibernético (custos legais, comunicações de crise, indemnizações a terceiros, etc.).
No entanto, o impacto de um ataque nas operações e na reputação de uma empresa excede em muito o que está coberto por um seguro. Desta maneira, é imperativo que disponha de salvaguardas adequadas para se defender e mitigar o impacto de um ataque cibernético. Será mesmo um desafio obter uma apólice de seguro adequada sem elas, uma vez que as seguradoras estão relutantes, compreensivelmente, em defender um cliente que não tenha medidas adequadas para prevenir ou, pelo menos, dissuadir um ataque cibernético.
Simplificando, o seguro cibernético não é uma alternativa a uma infraestrutura e gestão de segurança robustas, mas sim uma salvaguarda complementar caso um ataque ultrapasse as defesas e seja bem-sucedido.
Obtenha suporte profissional de um parceiro especialista em segurança
Mesmo que estes conselhos lhe deem uma maior compreensão dos riscos, muitas PME não têm os recursos necessários para garantir a sua própria cibersegurança e, como tal, é natural que necessitem de encontrar um parceiro adequado, que conheça os seus pontos fracos e as suas necessidades, enquanto fornece aconselhamento profissional e conhecimento técnico que garanta uma solução de segurança adequada e acessível.
Com 20 anos de experiência na satisfação das necessidades de segurança das PME, a Konica Minolta conhece bem as empresas portuguesas. Reunimos um conjunto impressionante de conhecimentos de IT em áreas que vão da cibersegurança e redes a soluções de gestão de impressão totalmente mantidas por nós, soluções de vídeo inteligente e às altamente seguras e mais recentes soluções de cloud, para uma tranquilidade total de backup.
A nossa equipa irá ajudá-lo a explorar os requisitos de segurança da sua empresa, por forma a encontrar as soluções certas para o seu orçamento e necessidades, com base numa tomada de decisão informada e na consideração total do ROI. Uma vez que estas necessidades continuarão a evoluir e a crescer com a sua empresa, a nossa parceria também é garante de uma avaliação e revisão contínuas, assegurando que a sua segurança também corresponde a estas necessidades.
Ajuda com as suas necessidades de cibersegurança
Para mais ajuda e apoio às necessidades de segurança informática da sua empresa, descarregue o nosso
guia gratuito de cibersegurança.