Segurança > Estratégia, Governança, Segurança de Dados

Por que é preciso garantir a segurança das PMEs?

Mas qual é a melhor defesa contra os criminosos do ciberespaço e como fornecer uma base sólida para proteger sua companhia?

01 de Março de 2016 - 07h00

Hoje, as pequenas e médias empresas (PMEs) impulsionam uma inovação significativa em muitas indústrias, como atendimento à saúde, serviços financeiros, transportes, varejista, entre outras. Tecnologias como computação em nuvem, comunicações móveis, redes sociais, análise de dados e Big Data permitem a estas companhias fazer mais com menos, chegar a novos mercados e se concentrar na criatividade e invenção. Porém, toda esta oportunidade acarreta uma nova responsabilidade: a segurança. Independentemente se a PME está em um processo de transição para a Cloud ou implementando um programa que permita aos funcionários usar seus dispositivos móveis no trabalho (BYOD), o tema deve estar presente na pauta das companhias diariamente.

De acordo com pesquisa divulgada pela FIESP (Federação das Indústrias do Estado de São Paulo) no início do ano passado, 59% dos ataques cibernéticos registrados no estado de São Paulo atingiram as finanças das empresas, e mais de 60% desses atentados aconteceram em indústrias de pequeno e médio porte. As PMEs têm sido frequentemente alvos atrativos para os hackers ávidos por explorar este mercado negro tão rentável. Estas empresas tendem a ter uma segurança mais fraca e a usar serviços de nuvem sem uma sólida tecnologia de encriptação. Além disso, elas frequentemente carecem das robustas políticas internas e de tecnologias necessárias para se protegerem contra organizações criminosas cada vez mais sofisticadas, que operam no ciberespaço com uma eficácia e eficiência invejáveis.

Os colaboradores costumam ser o elo mais fraco em muitas empresas e os hackers, que conhecem suas vulnerabilidades, estão se organizando para explorá-las, desenhando ataques extremamente sofisticados. Além das ameaças comuns, como as de sobreposição de identidade ou phishing, eles podem invadir dispositivos móveis pessoais inseguros, descarregar e usar apps vulneráveis, criar múltiplos pontos de entrada para potenciais violações de dados, sabotar informações e até espionar reuniões e ligações de negócio confidenciais. Dados da federação ainda mostram que 23,9% dos ataques a pequenas empresas visam informações sigilosas. Outros tipos de ofensiva incluem tirar sistemas do ar – o que gera grande prejuízo ao negócio – e manipular dados por meio de operações que às vezes passam despercebidas por muito tempo.

No entanto, as PMEs estão prontas para contra-atacar! Com a adoção cada vez maior da computação em nuvem, dispositivos móveis conectados e as tecnologias analíticas e sociais, é preciso indicar para essas empresas quais caminhos devem seguirem para que possam proteger seus dados e propriedade intelectual contra os ataques cibernéticos. Segundo a IDC, e, 2015 a previsão era de que os investimentos das pequenas e médias empresas em tecnologia de segurança superaria os US$ 5,6 bilhões, o que representa um investimento significativo em sua verba total de TI.

Agora que as PMEs focaram sua atenção e investimento na segurança, qual é a melhor forma de lançar uma defesa contra os criminosos do ciberespaço e fornecer uma base sólida para proteger sua companhia?

Para isso é importante que elas:

1. Criem uma cultura de segurança cibernética – Como a maioria dos ataques surgem do erro humano, cada funcionário precisa compreender a importância da segurança online, não importando se for uma companhia grande ou pequena. É preciso realizar as tarefas necessárias para capacitar sua força laboral e trabalhar com o time executivo na criação de políticas e práticas que protejam os negócios.

2. Instituir uma estratégia de gerenciamento da informação – Os ataques cibernéticos têm uma organização, uma estratégia e um alvo. De acordo com o Relatório das Nações Unidas sobre o Crime Cibernético, 80% destas tentativas são impulsionadas por criminosos com alto grau de organização, e neles os dados, as ferramentas e a experiência são amplamente compartilhados. Uma empresa deve estar um passo adiante, com um plano minucioso para enfrentar qualquer tentativa de invasão. Por isso, é necessário estabelecer um enfoque estratégico para que tudo funcione como uma defesa integrada que detecte, previna e responda aos ataques de forma instantânea.

3. Organizar e compartilhar – O setor privado deve colaborar e compartilhar dados e experiência com a mesma eficácia que os criminosos cibernéticos. As companhias devem se unir em uma plataforma de inteligência de segurança bem constituída e conectar-se com outras empresas e indústrias para identificar preventivamente ameaças e assim excluí-las de seus sistemas.

4. Implementar uma política de dispositivos móveis – Embora a tecnologia móvel esteja começando a ser considerada como a plataforma preferida para trabalhar, comprar e socializar, ainda não se tem a real consciência das enormes vulnerabilidades de segurança que acompanham essas tecnologias. Em determinado momento, o código malicioso está infectando mais de 11,6 milhões de dispositivos. No entanto, pesquisa recente da IBM revelou que 67% das organizações permitem que seus funcionários façam o download de aplicações não controladas nos aparelhos de uso da empresa, e 55% autorizam o uso e instalação de apps corporativos nos dispositivos pessoais. Ao ter acesso à raiz de um dispositivo por meio de falhas de segurança em aplicativos inseguros, os hackers podem ver arquivos e documentos sensíveis e dados pessoais e sabotar a câmera ou o microfone de um dispositivo para espiar reuniões, por exemplo.

5. Escolher segurança conforme sua empresa – As pequenas e médias empresas de hoje precisam de um fornecedor de serviços de segurança administrados que possa entregar uma solução flexível e econômica, além de proporcionar uma via de atualização simplificada. Além disso, qualquer enfoque de segurança deve incluir acesso rápido e fácil aos profissionais de segurança treinados, que possam ajudar a responder rapidamente a qualquer problema ou incidente à medida que for surgindo.

É muito importante voltar ao tema da mobilidade. As PMEs precisam de estratégias de segurança integral para se defender contra vulnerabilidades nesses dispositivos. Existem riscos associados com o conteúdo e os aplicativos móveis, e a prática cada vez mais popular de acessar dados de negócio confidenciais por meio desses. Implementar uma política de dispositivos móveis é essencial para proteger sua empresa.

A necessidade de uma frente unificada e inteligente para combater o crime cibernético é maior do que nunca. É um trabalho complexo e organizado, mas que cresce a passos gigantes, com estratégias muito sofisticadas - até mesmo para as companhias mais seguras. Não permita que sua empresa seja vítima, seja ela pequena, média ou grande. Fique pronto para um contra-ataque.

*Guilherme Novaes Procópio de Araújo é líder de Soluções de Segurança da IBM Brasil.