Os ciberataques são um grande desafio para organizações de todos os tamanhos, mas as pequenas e médias empresas (PMEs) enfrentam ameaças distintas quando se trata de cibersegurança. Ao contrário das grandes empresas, muitas vezes elas não têm os recursos e a expertise para implementar medidas de segurança extensivas ou gerenciar soluções complexas, tornando-as alvos para atores mal-intencionados.

Para nos ajudar a entender melhor as necessidades e tendências de segurança das PMEs, a Microsoft fez uma parceria com a Bredin, uma empresa especializada em pesquisa e insights sobre PMEs, para conduzir uma pesquisa focada em segurança para empresas com 25 a 299 funcionários. Ao compartilharmos os insights abaixo e as ações iniciais que podem ser tomadas para abordá-las, as PMEs podem encontrar práticas recomendadas adicionais para se manterem seguras no Kit Be Cybersmart (em inglês).

1. Uma em cada três PMEs foi vítima de um ciberataque

Com o aumento dos ciberataques, as PMEs são cada vez mais afetadas. Pesquisas mostram que 31% das PMEs foram vítimas de ciberataques, como ransomware, phishing ou violações de dados. Apesar disso, muitas PMEs ainda mantêm concepções errôneas que aumentam seu risco e vulnerabilidade. Algumas acreditam que são pequenas demais para serem alvos de hackers ou assumem que a conformidade equivale à segurança. É crucial entender que atores mal-intencionados representam uma ameaça para empresas de todos os tamanhos, e a complacência em cibersegurança pode levar a riscos significativos.

Como as PMEs podem abordar isso?

A Microsoft, em colaboração com a Agência de Segurança Cibernética e Infraestrutura (CISA) e a Aliança Nacional de Cibersegurança (NCA), delineou quatro práticas simples recomendadas para criar uma base sólida de cibersegurança:

• Use senhas fortes e considere um gerenciador de senhas.
• Ative a autenticação multifator.
• Aprenda a reconhecer e relatar phishing.
• Certifique-se de manter seu software atualizado.

2. Ciberataques custam às PMEs mais de 250 mil dólares em média e até US$ 7 milhões

Os custos inesperados de um ciberataque podem ser devastadores para uma PME e dificultar a recuperação financeira. Esses custos podem incluir despesas incorridas para esforços de investigação e recuperação para resolver o incidente e multas associadas à violação de dados. Os ciberataques não apenas apresentam uma tensão financeira imediata, mas também podem ter impactos a longo prazo em uma PME. A confiança diminuída dos clientes devido a um ciberataque pode causar danos reputacionais mais amplos e levar a oportunidades de negócios perdidas no futuro.

É difícil antecipar o impacto de um ciberataque porque o tempo necessário para se recuperar pode variar de um dia a mais de um mês. Embora muitas PMEs sejam otimistas sobre sua capacidade de resistir a um ciberataque, algumas falham em estimar com precisão o tempo necessário para restaurar as operações e retomar as atividades normais de negócios.

Como as PMEs podem abordar isso?

As PMEs podem conduzir uma avaliação de risco de cibersegurança para entender as lacunas na segurança e determinar as etapas para resolvê-las. Essas avaliações podem ajudar as PMEs a descobrir áreas abertas a ataques para minimizá-las, garantir conformidade com requisitos regulatórios, estabelecer planos de resposta a incidentes e mais.

Planejar de forma eficaz e proativa pode ajudar a minimizar os custos financeiros, reputacionais e operacionais associados a um ciberataque, caso ocorra. Muitas organizações fornecem avaliações de autoatendimento, e trabalhar com um especialista em segurança ou provedor de serviços de segurança pode trazer expertise e orientação adicionais durante o processo, conforme necessário.

3. 81% das PMEs acreditam que a IA aumenta a necessidade de controles de segurança adicionais

O rápido avanço das tecnologias de IA e a facilidade de uso por meio de interfaces simples criam desafios notáveis para as PMEs quando usadas por funcionários. Sem as ferramentas adequadas para proteger os dados da empresa, o uso de IA pode levar informações sensíveis ou confidenciais a cair em mãos erradas. Felizmente, mais da metade das empresas que atualmente não usam ferramentas de segurança de IA pretendem implementá-las nos próximos seis meses para uma proteção mais avançada.

Como as PMEs podem abordar isso?

A segurança e a governança de dados desempenham um papel crítico na adoção e uso bem-sucedidos da IA. A segurança de dados, que inclui rotulagem e criptografia de documentos e informações, pode mitigar a chance de informações restritas serem referenciadas em prompts de IA. A governança de dados, ou o processo de gerenciar, entender e proteger dados, pode ajudar a estabelecer uma estrutura para organizar efetivamente os dados.

4. 94% consideram a cibersegurança crítica para seus negócios

Reconhecendo a importância crítica da cibersegurança, 94% das PMEs a consideram essencial para suas operações. Embora nem sempre tenha sido considerada uma prioridade, dados os recursos limitados e a expertise interna, o aumento das ameaças cibernéticas e a sofisticação crescente dos ciberataques agora representam riscos significativos para as PMEs. Gerenciar dados de trabalho em dispositivos pessoais, ransomware e phishing são citados como os principais desafios que as PMEs estão enfrentando.

Como as PMEs podem abordar isso?

Para as PMEs que desejam começar com os recursos disponíveis para treinar e educar os funcionários, tópicos de segurança em  Cybersecurity 101, Phishing (em inglês) e mais são fornecidos através do site de Conscientização sobre Cibersegurança da Microsoft.

5. Menos de 30% das PMEs gerenciam sua segurança internamente

Dados os recursos limitados e a expertise dentro das PMEs, muitas recorrem a especialistas em segurança para assistência. Menos de 30% das PMEs gerenciam a segurança internamente e geralmente dependem de consultores de segurança ou provedores de serviços para gerenciar as necessidades de proteção. Esses profissionais fornecem suporte crucial na pesquisa, seleção e implementação de soluções de cibersegurança, garantindo que as PMEs estejam protegidas contra novas ameaças.

Como as PMEs podem abordar isso?

Contratar um Provedor de Serviços Gerenciados (MSP – Managed Service Provider) é comumente usado para complementar as operações internas de negócios. Os MSPs são organizações que ajudam a gerenciar serviços de TI amplos, incluindo segurança, e servem como parceiros estratégicos para melhorar a eficiência e   supervisionar as atividades diárias de TI. Exemplos de suporte de segurança podem consistir na pesquisa e identificação de soluções de segurança adequeadas para um negócio com base em necessidades e requisitos específicos. Além disso, os MSPs podem implementar e gerenciar a solução configurando políticas de segurança e respondendo a incidentes em nome das PMEs. Esse modelo permite mais tempo para as PMEs se concentrarem nos objetivos principais do negócio, enquanto os MSPs mantêm a empresa protegida.

6. 80% pretendem aumentar seus gastos com cibersegurança, com proteção de dados como a principal área de investimento

Dada a importância crescente da segurança, 80% das PMEs pretendem aumentar os gastos com cibersegurança. Os principais motivadores são a proteção contra perdas financeiras e a salvaguarda dos dados de clientes e consumidores. Não é surpresa que a proteção de dados seja a principal área de investimento, com 65% das PMEs dizendo que é onde o aumento dos gastos será alocado, validando a necessidade de segurança adicional com o surgimento da IA. Outras principais áreas de gastos incluem serviços de firewall, proteção contra phishing, ransomware e proteção de dispositivos, controle de acesso e gerenciamento de identidade.

Como as PMEs podem abordar isso?

Priorizando esses investimentos nas áreas acima, as PMEs podem melhorar a postura de segurança e reduzir o risco de ciberataques. Soluções como Prevenção de Perda de Dados (DLP – Data Loss Prevention) ajudam a identificar atividades suspeitas e evitar que dados sensíveis vazem para fora da empresa, Detecção e Resposta de Endpoint (EDR – Endpoint Detection and Response) ajudam a proteger dispositivos e defender contra ameaças, e Gerenciamento de Identidade e Acesso (IAM – Identity and Access Management) ajudam a garantir que apenas as pessoas certas tenham acesso às informações adequadas.

7. 68% das PMEs consideram o acesso seguro aos dados um desafio para trabalhadores remotos

A transição para modelos de trabalho híbridos trouxe novos desafios de segurança para as PMEs, e esses problemas continuarão à medida que o trabalho híbrido se tornar permanente. Com 68% das PMEs empregando trabalhadores remotos ou híbridos, garantir o acesso seguro para funcionários remotos é cada vez mais crítico. Um significativo 75% das PMEs estão preocupadas com a perda de dados em dispositivos pessoais. Para proteger informações sensíveis em um ambiente de trabalho híbrido, é vital implementar soluções de segurança e gerenciamento de dispositivos para que os funcionários possam trabalhar com segurança de qualquer lugar.

Como as PMEs podem abordar isso?

Implemente medidas para proteger dados e dispositivos conectados à internet, incluindo a instalação imediata de atualizações de software, garantindo que aplicativos móveis sejam baixados de lojas de apps legítimas e evitando compartilhar credenciais por e-mail ou mensagem de texto, fazendo isso apenas por telefone em tempo real.

Próximos passos com o Microsoft Security

• Leia o full report para saber mais sobre como a segurança continua a desempenhar um papel importante para as PMEs.
• Obtenha o Kit Be Cybersmart (em inglês) para ajudar a educar todos em sua organização com recursos de conscientização sobre cibersegurança.

Para saber mais sobre as soluções de Segurança da Microsoft, visite o site. Favorite o blog de Segurança (em inglês) para acompanhar a cobertura especializada sobre questões de segurança. Além disso, siga no LinkedIn (Microsoft Security) e no X (@MSFTSecurity) para as últimas notícias e atualizações sobre cibersegurança.v