Medidas essenciais de cibersegurança para PME

Por Pedro Viana, Diretor de Pré-venda, Portugal e Espanha da Kaspersky

Não importa se a sua empresa é uma pequena firma de contabilidade, uma corretora de seguros ou uma transportadora com apenas cinco camiões. É uma das milhões de pequenas e médias empresas (PME) vitais para a economia global. Representando uns impressionantes 90% das empresas a nível mundial, as PME empregam uma parte significativa dos indivíduos disponíveis no mercado de trabalho e contribuem substancialmente para o PIB global. No entanto, na atual era digital, as PME enfrentam uma ameaça crescente – os ciberataques.

Embora a sua empresa possa ter um alarme de segurança de alta qualidade nas instalações e nos veículos da sua empresa, grades nas janelas e boas fechaduras, que evitam quaisquer ataques físicos de criminosos, um ciberataque é invisível. Estes ataques podem ir desde violações de dados informáticos a infeções por ransomware e as suas consequências podem ser devastadoras, com perdas financeiras, perturbações operacionais, danos à reputação e repercussões legais.

Uma vez que as PME podem não ter as mesmas medidas de segurança robustas que as grandes empresas, são frequentemente vistas como alvos mais fáceis para os cibercriminosos.

A boa notícia é que podem melhorar significativamente a sua postura de segurança. Eis algumas medidas:

1. Proteção de dados: a base da segurança

A proteção de dados refere-se às garantias implementadas para proteger informações sensíveis, tais como dados pessoais, registos financeiros, propriedade intelectual e segredos comerciais. O objetivo é garantir que apenas indivíduos autorizados podem aceder a estes dados e impedir o acesso, utilização, divulgação, perturbação, modificação ou destruição não autorizados. Pense nisto como o código de acesso à porta principal do seu edifício. Sem código, não há acesso.

Além disso, é importante notar que a conformidade com os regulamentos de privacidade de dados relevantes, como o GDPR (Europa) ou o HIPAA (EUA), também pode ser necessária para a sua empresa. Por exemplo, a empresa francesa de partilha de carros Ubeeqo foi multada em 175 000 euros por “não conformidade com os princípios gerais de tratamento de dados”. Outro exemplo notório de fugas de dados é o caso da instituição de caridade britânica Mermaids, que foi multada em 29 000 euros por “medidas técnicas e organizacionais insuficientes para garantir a segurança da informação”.

O nosso conselho é que valorize os seus dados: pense neles como o seu bem mais precioso. Proteja-os através da encriptação, de controlos de acesso e de cópias de segurança regulares. Paralelamente, invista em mecanismos de autenticação e verifique cuidadosamente a identidade dos utilizadores que tentam aceder aos dados. As soluções profissionais de cibersegurança da Kaspersky oferecem funcionalidades como a de Data Discovery, com modelos predefinidos, que permite identificar facilmente informações confidenciais e sensíveis. Verá quando são partilhadas no Teams, OneDrive, SharePoint – quase todos os serviços do Microsoft Office 365 – para que possa aplicar a correção para manter a integridade dos dados e cumprir os objetivos de conformidade.

2. Combater o crescimento de infeções por ransomware

O ransomware é um tipo de malware que encripta os ficheiros de um computador, tornando-os inacessíveis. Depois de realizarem o ataque, os criminosos exigem o pagamento de um resgate em troca da chave de desencriptação dos ficheiros e pastas. Se uma vítima não pagar o seu pedido de resgate, o atacante publica-os por despeito.

Os ataques de ransomware podem ser incapacitantes para as PME, causando perdas financeiras e perturbando as operações comerciais. O custo invisível de um ataque é o tempo despendido por si, pela sua empresa e pela sua equipa para reconstruir o sistema informático e comunicar com o seu banco, as autoridades policiais e a sua seguradora. Estima-se que o tempo médio de recuperação de um ataque informático ronde os 46 dias, ou mais.

A perda de reputação por parte de um cliente é incalculável, pelo que é essencial que os seus colaboradores estejam aptos a reconhecer tentativas de ransomware e atualizar regularmente o software, continuamente implementando estratégias de cópia de segurança robustas. Os ataques de ransomware estão a tornar-se cada vez mais comuns e prejudiciais para as PME. É crucial sensibilizar os colaboradores sobre os perigos das tentativas de phishing, assegurar que os sistemas são regularmente atualizados e que há cópias de segurança que possam mitigar o impacto de um ataque.

3. Proteger a cloud: uma responsabilidade partilhada

A computação em cloud oferece inúmeros benefícios às PME, como baixos custos de armazenamento de dados e acesso em qualquer lugar, mas também introduz novas considerações de segurança. A segurança na cloud refere-se às medidas adotadas para proteger dados, aplicações e infraestruturas alojadas neste ambiente.

Cerca de duas em cada três organizações utilizam serviços de cloud pública, e muitas estão a fazer “malabarismos” com vários fornecedores (CSP). Isto ajuda a explicar porque é que quase metade de todas as violações de dados ocorrem na cloud. É imperativo que a sua organização tenha total visibilidade dos seus dados, pois só então poderá classificar os seus ativos de informação e gerir os riscos relacionados.

Abrace a sua segurança ao escolher fornecedores respeitáveis, com um forte historial de medidas de autenticação, e assegure que os seus dados estão protegidos contra encriptação. Opte por soluções que atenuem os riscos de trabalho remoto ao identificar e restringir a utilização de recursos de cloud inadequados ou não autorizados. As fontes de uma potencial violação de dados são rapidamente localizadas e eliminadas, facilitando a recuperação e a manutenção de conformidade. E se um dispositivo for perdido ou roubado, pode proteger os seus dados com encriptação remota.

4. Diminuir a superfície de ataque

A superfície de ataque de uma PME abrange todos os potenciais pontos de entrada para ciberataques, desde portas abertas e dispositivos não seguros até às vulnerabilidades do software. A redução da superfície de ataque é crucial para as PME melhorarem a sua postura de cibersegurança e minimizarem o risco de ciberataques. Este processo, conhecido como redução da superfície de ataque, envolve a identificação e atenuação das vulnerabilidades, garantindo que a funcionalidade do sistema não seja comprometida. Por exemplo, as PME podem desativar portas abertas desnecessárias ou desativar serviços não utilizados para limitar os potenciais pontos de entrada dos atacantes.

No entanto, há alguns desafios a considerar. As pequenas empresas podem estar inclinadas a negligenciar completamente a cibersegurança e, segundo consta, cerca de metade delas fazem-no. Contudo, se a sua empresa tiver presença digital e negligenciar a cibersegurança, pode levar a custos elevados e danos à reputação. As PME podem enfrentar estes desafios, concentrando os esforços de segurança nos sistemas e dados mais críticos, automatizando também as tarefas de segurança de rotina para libertar recursos de TI. Embora a segurança dos endpoints seja uma solução complexa, pode ajudar a proteger as empresas.

5. Ciber-higiene: práticas de segurança quotidianas

As práticas desaforáveis à segurança representam uma falta geral de conhecimentos ou ações de segurança adequados, como a utilização de passwords fracas, a não destruição de documentos sensíveis ou o desconhecimento da política da empresa. Este tipo de erro humano está na origem de 82% das violações de dados e é algo que até os cibercriminosos pouco qualificados podem aproveitar.

A ciber-higiene deve integrada na rotina diária da sua equipa, tal como apagar as luzes ao sair de uma sala ou participar numa reunião semanal. Por esta razão, é vital informar os colaboradores sobre as melhores práticas de cibersegurança, implemente políticas rigorosas na criação e utilização de passwords e promova uma cultura de sensibilização para a segurança. A ciber-higiene é essencial para a proteção contra as ciberameaças.

6. Resolver a escassez de profissionais

O papel de um proprietário de uma pequena empresa é identificar e gerir o que mantém os clientes satisfeitos e que promove um crescimento saudável, abrangendo as finanças, as vendas, marketing, a contratação, as questões jurídicas e a conformidade. No entanto, quando há uma recessão, uma crise ou quando as margens de lucro estão baixas, as TI são a primeira área corporativo a receber menos financiamento ou a ser externalizada.

A falta de profissionais de cibersegurança nas PME pode conduzir a vulnerabilidades e a um aumento dos riscos de ciberataques. Estas lacunas podem resultar da falta de profissionais formados, de recursos de formação limitados ou da dificuldade de contratação e retenção de colaboradores. Este défice prejudica a sua capacidade de manter medidas de segurança essenciais, monitorizar as ameaças e responder eficazmente a incidentes, expondo-as potencialmente a violações de dados, perdas financeiras e danos à reputação.

À medida que as ciberameaças se tornam mais avançadas e complexas, é crucial resolver a escassez de profissionais e investir em novos talentos no domínio da cibersegurança. As PME devem concentrar-se na formação dos colaboradores existentes, na subcontratação de tarefas específicas, na automatização de processos de rotina e na prioridade à contratação de profissionais qualificados em cibersegurança para reforçar as suas defesas e proteger os seus ativos digitais e os dados dos clientes.

Em resumo

Ao darem prioridade a estes seis pilares da cibersegurança, as PME podem melhorar significativamente as suas defesas e mitigar os riscos a que estão expostas. A implementação destas medidas salvaguarda o futuro da sua empresa. Uma abordagem proativa de cibersegurança permite que as PME prosperem na era digital, assegurando a segurança dos seus dados. Em cibersegurança, a prevenção é sempre melhor do que a cura.