Quando falamos em crimes cibernéticos, pequenas e médias empresas (PMEs) estão com um alvo cada vez maior nas costas. Pessoas mal-intencionadas identificaram a vulnerabilidade dessas organizações que têm recursos limitados e políticas de cibersegurança pouco desenvolvidas. Além disso, essas entidades menores costumam ser vistas como portas de entrada para organizações maiores dentro da cadeia de suprimentos, o que as torna alvos potencialmente lucrativos para ataques.
98% dos ataques cibernéticos contra PMEs tiveram motivação financeira, sendo que 54% envolveram credenciais comprometidas — DBIR de 2023 da Verizon
Para esclarecer como essas tendências estão se desenrolando em PMEs, a LastPass entrevistou recentemente mais de 600 líderes de segurança empresarial e de TI de empresas com menos de 3.000 colaboradores.
A pesquisa revelou um padrão preocupante: embora os líderes de PMEs estejam se tornando mais proativos na abordagem à cibersegurança — aumentando a conscientização e o investimento em medidas de segurança, por exemplo —, os entrevistados identificaram que fatores humanos ainda criam sérias lacunas de segurança que podem deixar essas organizações vulneráveis aos cibercriminosos.
Como os líderes de PMEs podem sanar essas lacunas? Continue lendo para obter análises e conselhos da equipe de inteligência de ameaças da LastPass.
Revelando a desconexão da responsabilidade
O fenômeno mais marcante identificado pela pesquisa é a desconexão da responsabilidade entre as ações dos executivos e os comportamentos dos colaboradores.
Os executivos estão enfatizando e investindo mais em cibersegurança: 90% dos líderes de TI e 80% dos líderes que não atuam na área de TI relataram uma ênfase maior em medidas de cibersegurança no último ano, e 82% das empresas aumentaram seus orçamentos de cibersegurança.
Por sua vez, 92% dos executivos e 93% dos líderes de TI relataram acreditar que os colaboradores entendem as expectativas de segurança. E a maioria dos executivos e líderes de TI relatou que se sente confiante em relação às suas medidas de cibersegurança, com apenas 30% dos líderes acreditando que a empresa enfrenta um alto risco de problemas nesse quesito.
Embora os líderes de PMEs estejam se tornando mais proativos em sua abordagem à cibersegurança, fatores humanos ainda podem criar sérias lacunas de segurança que deixam essas organizações vulneráveis.
No entanto, os resultados da pesquisa sugerem uma realidade diferente na prática:
● Apenas 78% dos líderes que não atuam na área de TI acreditam que os colaboradores entendem as expectativas de segurança de suas funções
● 1 em cada 5 líderes empresariais admite burlar políticas de segurança
● 1 em cada 10 líderes de segurança de TI admite burlar políticas de segurança
● 1 em cada 4 trabalhadores mais jovens provavelmente violará políticas
● 36% dos profissionais da Geração Z admitem anotar senhas
A pesquisa sugere que, embora os investimentos financeiros em cibersegurança estejam aumentando, os investimentos qualitativos são igualmente cruciais.
Como dar um fim às lacunas: dicas e práticas recomendadas de cibersegurança
Considerando essas descobertas, os líderes de PMEs podem aprimorar suas estratégias de cibersegurança concentrando-se em melhorias nas políticas, na educação dos colaboradores e no cultivo de uma cultura de conscientização sobre segurança.
Dica 1: Fomente o conhecimento em cibersegurança
Os líderes empresariais que não atuam na área de TI identificaram a falta de compreensão, o descaso perceptível e a natureza acelerada dos negócios como as principais barreiras à conformidade contra ameaças cibernéticas, indicando a necessidade de programas educacionais direcionados que abordem esses desafios específicos.
Para transpor a desconexão da responsabilidade, as PMEs devem desenvolver estratégias de comunicação claras e sessões de treinamento regulares em todos os níveis da organização. Isso pode ajudar a garantir que cada colaborador entenda o papel que desempenha na manutenção da cibersegurança, trazendo todos para o círculo de responsabilidade e mudança comportamental.
E a educação não é apenas de cima para baixo. Uma comunicação mais robusta se faz necessária para garantir que todos os colaboradores estejam na mesma página em relação aos protocolos de segurança. Os líderes devem realizar reuniões entre departamentos para garantir que todas as partes da organização entendam e se comprometam com as políticas de cibersegurança. Auditorias regulares e sessões de feedback também podem ajudar a identificar áreas em que há falta de compreensão.
Dica 2: Aumente o número de incentivos e punições
Considerando os resultados da pesquisa sobre violações de políticas, especialmente entre os colaboradores mais jovens e determinados cargos de liderança, os líderes de PMEs devem implementar uma abordagem equilibrada de incentivos mais consistentes para a conformidade, bem como consequências mais rigorosas para as violações. Uma cultura aberta e receptiva a denúncias de violações também pode dar autonomia para que os colaboradores sejam seus próprios profissionais de segurança.
Além disso, qualquer pessoa que trabalhe na área de segurança há tempo suficiente já testemunhou violações de políticas cometidas para que o trabalho fosse realizado. Com esse conhecimento, a liderança deve implementar processos simplificados para exceções à política de cibersegurança. Um processo fácil e claro por meio do qual os colaboradores possam obter permissão para burlar temporariamente uma política de segurança pode ajudá-los a realizar o trabalho sem tomar medidas desonestas.
Dica 3: Adote um programa de segurança baseado em inteligência de ameaças
É animador saber que os líderes de PMEs estão otimistas quanto à segurança, mas o otimismo pode levar à complacência. Esses líderes devem conhecer suas joias da coroa, saber quem tem interesse nelas e quais são as ameaças mais prováveis. Um programa de segurança baseado em inteligência de ameaças pode ajudá-los a entender os verdadeiros riscos em vez de apenas adivinhar o que pode estar por vir.
PMEs devem implementar monitoramento de ameaças e avaliações de risco regulares para manter um entendimento preciso de sua postura de segurança. O envolvimento em estratégias proativas de caça e resposta a ameaças também pode ajudar a identificar e atenuar os riscos antes que eles aumentem.
Dica 4: Use um gerenciador de senhas
A pesquisa expôs o gerenciamento de senhas como uma área que requer atenção crítica. O uso generalizado de gerenciadores de senhas em PMEs é um sinal positivo, mas quase metade dos vazamentos de dados relatados pelos entrevistados envolveu senhas comprometidas.
Em resposta, as PMEs devem implementar e reforçar o uso de gerenciadores de senhas em toda a empresa. A educação continuada sobre segurança de senhas também será vital para combater a falta de compreensão dos colaboradores e o descaso perceptível em relação às políticas de senhas.
Dica 5: Prepare-se para ameaças baseadas em IA
À medida que as PMEs se preparam para os desafios futuros, elas devem permanecer vigilantes contra ataques de phishing, vulnerabilidades na nuvem e a possibilidade de perda de dados empresariais devido a ataques de ransomware ou malware. A função em evolução da inteligência artificial na cibersegurança, especialmente os ataques de phishing baseados em IA, também é algo que os líderes de PMEs precisam observar atentamente.
Para ficarem por dentro dos avanços tecnológicos em IA e cibersegurança, os líderes podem considerar investir em ferramentas de segurança baseadas em IA que possam fornecer recursos avançados de detecção e resposta a ameaças. Também será fundamental treinar os colaboradores sobre as táticas mais recentes de phishing, inclusive as que utilizam IA.
As maiores empresas do mundo, com todos os recursos possíveis à disposição, ainda se veem em alto risco todos os dias — não há motivo para que as PMEs não se vejam da mesma forma.
Pequenos passos podem fazer uma grande diferença para as PMEs
A jornada rumo a uma cibersegurança robusta está em andamento para as PMEs, e está claro que a política de "confiar, mas verificar" ainda se aplica bastante a esse tipo de organização. Embora seja importante que os líderes confiem em seus colaboradores e sistemas, é igualmente crucial que eles sempre garantam que as políticas de segurança estejam atualizadas, em vigor e sendo seguidas.
A conscientização e o investimento crescentes relatados na pesquisa sobre cibersegurança em PMEs são louváveis. No entanto, ainda há um trabalho considerável a ser feito para alinhar a cultura de cibersegurança à política e transpor a lacuna entre as percepções da liderança e os comportamentos dos colaboradores. Ao se concentrarem em uma educação abrangente, na aplicação de políticas e em tecnologias inovadoras, os líderes das PMEs podem fortalecer suas defesas e promover um futuro mais seguro.
Leia o relatório completo para saber mais sobre os desafios de cibersegurança enfrentados por PMEs.*
*Este relatório está disponível apenas em inglês.
