Depois de se esforçar tanto para montar sua empresa e sua marca, você não pode deixar a segurança digital em segundo plano. Nem pode permitir que ameaças impeçam sua inovação, no momento em que empresas de todos os portes sofrem pressão constante para se adaptar às rápidas mudanças. Ter controle sobre a segurança de informações significa mais controle sobre o sucesso futuro de sua empresa.
Segundo uma pesquisa recente da Kaspersky, o custo médio de um comprometimento de segurança em uma pequena ou média empresa (PME) é avaliado em US$ 108.000. Aproximadamente metade desse valor procede de danos a informações e infraestrutura, e o restante resulta da interrupção das operações normais.
Se você é proprietário de uma empresa, não pode ignorar essa estatística. Além dos custos de um incidente de cibersegurança serem catastróficos, muitas vezes eles são notoriamente difíceis de quantificar. Além dos gastos mais óbvios e diretos, também é preciso contabilizar os prejuízos à marca, que podem ter consequências mais profundas. Por exemplo, 60% das empresas fecham até seis meses após um ataque importante.
Por que os proprietários de empresas devem se preocupar com a cibersegurança?
Segundo Andrey Dankevich, da Kaspersky:
As pequenas empresas podem não ter a cibersegurança entre suas maiores prioridades, mas o custo de ignorar esse problema cresce a cada dia. Por quê? Porque o malware não diferencia suas vítimas e mesmo organizações muito pequenas têm algo a perder.
Andrey Dankevich
líder de negócios de solução da Kaspersky
Muitos empresários podem achar que não são alvos atraentes e que não vale a pena investir muitos recursos financeiros humanos e técnicos no fortalecimento das defesas. Acredita-se que os cibercriminosos preferem alvos grandes, o que não surpreende, já que são as violações de dados de marcas como Yahoo! e Marriott que costumam ocupar as manchetes.
Porém, é mais provável que as grandes empresas tenham medidas avançadas de segurança em vigor, ou pelo menos é isso que os cibercriminosos normalmente pensam. A percepção é de que são alvos lucrativos, mas extremamente desafiadores. A maior parte dos cibercriminosos é de oportunistas. Em vez de visar grandes corporações, eles buscam ganhos fáceis; cerca de 36% das pequenas empresas já sofreram uma violação de dados. Além disso, mais ou menos um quarto das empresas usa apenas produtos para o consumidor para se proteger e, dentre as que tiveram violações, mais de um quarto não tem soluções de TI apropriadas ou pessoal interno especializado.
Todas as organizações, independentemente de tamanho ou segmento, têm algo que os cibercriminosos desejam. Podem ser dados de pagamento, informações de identificação pessoal ou propriedade intelectual, apenas como exemplo. As pequenas empresas estão coletando mais dados valiosos do que nunca e, assim, tornando-se alvos ainda mais atraentes. Ao mesmo tempo, muitas vezes falta uma infraestrutura de cibersegurança; essas empresas menores podem não ter especialistas em TI no local e dependem de provedores de serviços gerenciados (MSPs) ou apenas do conhecimento técnico básico de consumidores para sobreviver. Com a falta da infraestrutura e da experiência necessárias para proteger as supostas joias da coroa (seus dados mais valiosos), os atacantes podem ter muitas vias para explorar.
Em uma visão menos sombria, é possível criar uma infraestrutura de cibersegurança para pequenas empresas robusta sem precisar optar por acabar com seu caixa ou comprometer suas iniciativas de inovação.
A cibersegurança sólida começa e termina com as pessoas
É comum que a segurança de informações seja considerada um desafio técnico. Se você perguntar aos funcionários de um escritório “Quem são as pessoas na empresa responsáveis pela cibersegurança?”, quase todos provavelmente indicarão o pessoal da TI. Ou, se não houver uma equipe de TI dedicada, é provável que indiquem a gerência. A verdade é que, independentemente da cultura da empresa, a cibersegurança é responsabilidade de todos. Isso porque o problema é, em grande medida, humano e não tecnológico; cerca de 90% dos ataques cibernéticos envolvem um elemento humano.
Os cibercriminosos aproveitam-se de falhas humanas, simplesmente porque isso é muito mais fácil do que explorar a tecnologia. Por exemplo, é muito mais simples para um atacante fazer com que alguém informe credenciais de login do que quebrar a criptografia ou usar um ataque de força bruta que, teoricamente, poderia demorar mais tempo que a expectativa de duração do universo. Na verdade, a maioria dos cibercriminosos não conhece melhor o funcionamento interno da tecnologia do que a média dos leigos. Em vez disso, eles contam com táticas de engenharia social e malware como serviço (frequentemente adquirido na Dark Web), em que cibercriminosos recrutam outros afiliados, de várias maneiras espelhando os processos usados por empresas legítimas.
A única forma real de reduzir as falhas humanas é garantir que seus funcionários estejam pelo menos cientes do cenário da cibersegurança assim como aqueles que poderiam explorá-la. Você não pode esperar que o pessoal da contabilidade ou do RH entenda as complexidades de coisas como criptografia e protocolos de segurança, mas pode treiná-los para que reconheçam ameaças de engenharia social, como e-mails de phishing e riscos à segurança comuns, como senhas fracas. Todos devem participar de um programa de treinamento de conscientização sobre segurança contínuo e interativo, que prepare as pessoas para os riscos. Você não estará apenas fazendo um favor para a sua empresa, estará ajudando a todos que trabalham para você a se protegerem também em suas vidas pessoais.
Proteja o perímetro
A defesa do perímetro é o nível fundamental de proteção básica. Análoga aos muros de um castelo medieval, sua única finalidade é manter o que não presta fora e o que é valioso dentro. Um dos maiores desafios é estabelecer onde fica esse perímetro. Não se trata apenas de proteger as redes internas com firewalls e software antivírus como antes. Os sistemas de dados não estão mais restritos a servidores e estações de trabalho internos; hoje, os líderes de negócios precisam pensar nos dispositivos móveis que são usados para trabalhar (inclusive os de propriedade de funcionários) e em recursos hospedados na nuvem.
A defesa do perímetro convencional não é mais suficiente. A quantidade de dados sob os seus cuidados normalmente vai muito além dos limites físicos de suas instalações. Por isso, a proteção de suas contas on-line deve ser prioridade. O hardware está se tornando cada vez menos importante em ambientes de pequenas empresas, que estão migrando para a computação em nuvem e os serviços gerenciados. Todos esses dispositivos, chamados de endpoints, precisam ser protegidos.
Proteger-se não é tão trabalhoso como pode parecer à primeira vista. Para complementar os gerentes de TI internos ou substituí-los, frequentemente as pequenas empresas fazem parcerias com provedores de serviços gerenciados (MSPs) capazes de oferecer um pacote de serviços de segurança para atender às necessidades delas, incluindo gerenciamento de software antivírus, instalação de firewalls e proteção de e-mail de conteúdo malicioso.
Como a segurança em camadas ajuda a proteger as joias da coroa
Voltando à analogia do castelo, há mais do que simples muralhas protegendo o que está dentro dele. Muitos castelos foram intencionalmente construídos sobre colinas para proporcionar uma vantagem defensiva. Outros têm fossos ou valas como uma camada de defesa adicional. E, mesmo que um exército atacante consiga passar pelos muros, normalmente há uma guarnição que funciona como última linha de defesa. A mesma metodologia aplica-se à segurança de informações, onde a defesa do perímetro é apenas a primeira barreira, que serve para impedir que os atacantes entrem no sistema. Mas, se isso for tudo, um único ponto de falha deixará sua empresa extremamente vulnerável.
A segurança em vários níveis é baseada no conceito de usar várias soluções de segurança em conjunto para proteger as joias da coroa: seus dados muito valiosos e confidenciais. Por exemplo, um firewall ajuda a evitar que códigos maliciosos alcancem a sua rede; o software antivírus protege cada dispositivo individual conectado à rede e a criptografia protege os dados que estão armazenados e também quando são enviados pela Internet.
Todos esses são controles técnicos e administrativos, ambos relativamente fáceis e baratos de implementar, já que hoje são padrão em muitos sistemas de TI corporativos.
Porém, embora ajudem a proteger sua empresa, eles não substituem o treinamento e o conhecimento.
Agregando valor com uma segurança de informações melhor
É hora dos empresários levarem a segurança de informações a sério, mas isso não significa que ela precisa se tornar um fardo para os recursos ou um impedimento para a inovação. Em vez disso, ela pode agregar valor para a sua empresa, em um momento em que os clientes consideram a privacidade e a segurança de dados como prioridades ao escolher as organizações com quem farão negócios. Com uma combinação das políticas certas com tecnologia de ponta, você pode fazer com que sua empresa chegue mais perto da imunidade contra ameaças cibernéticas.