Por Ben Aung (*)

A paisagem das ciberameaças está em permanente mudança, exigindo uma elevada capacidade de adaptabilidade para organizações de todas as dimensões. Contudo, para as pequenas e médias empresas (PME), essa tarefa pode ser particularmente árdua. Um estudo recente da Sage revela que cerca de metade das PME (48%) nos principais mercados globais enfrentaram pelo menos um incidente de cibersegurança no ano passado.

Em Portugal especificamente, os desafios não são menos salientes: mais de metade (55%) das PME em Portugal acreditam que educar as equipas sobre as ameaças à cibersegurança é neste momento o principal desafio para desenvolver ciber-resiliência. Ao mesmo tempo, 40% das PME portuguesas reconhecem as dificuldades em recrutar pessoas com competências para fazer frente a esta paisagem de ameaças.

A escassez por especialistas dedicados à cibersegurança nas PME significa que os efeitos de um ciberataque podem ser fulminantes. Mas isso não significa, ainda assim, que estas empresas sejam agentes passivos perante as ciberameaças. Pelo contrário, é possível desenvolver uma base de princípios básicos de cibersegurança que possam ser implementados de forma fácil, rápida – e, em particular, sem a necessidade de TI especializada. Se considerarmos que 71% das PME em Portugal consideram a cibersegurança como parte integrante da sua cultura de trabalho atual, o momento é propício para pôr em prática estas medidas básicas.

 Os primeiros passos rumo à ciber-resiliência

 Em primeiro lugar, as empresas precisam de identificar as suas vulnerabilidades, para garantir que as ferramentas e as estratégias implementadas são adequadas para as suas necessidades em específico e têm em consideração a proteção dos seus bens mais preciosos. Por exemplo, no caso de um negócio de comércio online o principal ativo a proteger será o website da loja de comércio eletrónico, enquanto no caso de um fabricante industrial esse ativo será a própria tecnologia operacional. Um aspeto comum a todas as empresas é a necessidade de proteção dos dados pessoais dos clientes e funcionários.

Para ser eficaz, este processo de identificação de ativos fundamentais e das suas vulnerabilidades deve incluir os stakeholders de diferentes partes da organização. Isto permite, por um lado, que todos os sistemas importantes sejam incluídos e, por outro, garantir a adesão de todos, reduzindo o risco ao implementar medidas de cibersegurança.

Autenticação de dois fatores

Com a digitalização, a ativação da autenticação de dois fatores (2FA, iniciais de “2 Factor Authentication”) tornou-se imperativa. Esta medida de segurança cria um obstáculo significativo para os cibercriminosos, visto que nem mesmo uma palavra-passe roubada lhes concederá acesso não autorizado a um sistema. Ao utilizar um código único, enviado para um dispositivo pessoal – como um smartphone ou um hardware token – o acesso só é possível a quem tem o dispositivo físico.

Segurança da cloud

Da mesma forma, à medida que a tecnologia progride, as empresas devem tirar partido das vantagens de segurança proporcionadas pela cloud. Hoje, fornecedores especializados de serviços na cloud oferecem infraestruturas de segurança de última geração para PME, melhores do que muitas organizações conseguem criar e administrar localmente.

Estes serviços, não só fornecem segurança robusta e simplificada, como também uma solução económica que reduz a carga das equipas internas de TI. Isto é especialmente importante se considerarmos que, segundo a Sage, apenas 10% das PME têm um gestor de segurança dedicado que pode monitorizar e responder a ciberameaças.

Deteção e resposta de endpoint

Uma paisagem de ciberameaças em constante evolução requer formas de pensar evoluídas sobre a cibersegurança. Não é de estranhar, por isso, que os sistemas de antivírus tradicionais estejam agora a ser ultrapassados por ferramentas de deteção e resposta de endpoint (EDR, iniciais de “Endpoint Detection and Response”), consideradas nada mais do que autênticos game-changers. Soluções como o Defender for Endpoint da Microsoft podem ser integradas nos dispositivos de uma empresa, oferecendo monitorização vigilante contra comportamentos potencialmente maliciosos. Com uma resposta em tempo real às ameaças, muitas vezes sem necessidade de intervenção humana, o endpoint consegue com que as ameaças sejam detetadas e neutralizadas rapidamente, minimizando os danos.

Formação e cultura de cibersegurança

Embora a tecnologia ofereça muitas soluções, o elemento humano continua a ser crucial. É por isso que priorizar a formação em cibersegurança junto dos funcionários é fundamental. Através de workshops e sessões de formação regulares, os funcionários podem estar informados sobre as ameaças mais recentes, como o problema sempre persistente do phishing. Uma organização que promove o diálogo aberto em torno da cibersegurança garante que cada membro se sente responsável pela segurança digital coletiva. Assim, a equipa torna-se vigilante, capaz de detetar e denunciar atividades suspeitas.

Preparação para incidentes

Por último, as empresas devem desenvolver um plano de ação no caso de emergências. Isto envolve identificar os dados e os sistemas que são essenciais nas operações diárias e elaborar planos de contingência. Esses planos devem considerar os piores cenários, como fugas de dados graves ou ataques de ransomware. Ter uma estratégia de resposta coordenada pode ser a diferença entre um pequeno contratempo e uma crise. A preparação garante reações rápidas e coordenadas durante incidentes, reduzindo significativamente o tempo de inatividade, custos e reputação.

Manter a simplicidade é a chave para a ciber-resiliência

A cibersegurança não tem de ser um objetivo inatingível. Embora muitos aspetos sejam altamente técnicos, compreender os conceitos básicos de ciber-resiliência deve ser simples e fácil de implementar. Adotar estas medidas reduzirá a probabilidade de um ataque bem-sucedido e garantirá também que as PME estão mais preparadas para agir eficazmente.

(*) Chief Risk Officer da Sage