Por Ghassan Dreibi*
Recentemente apresentamos o relatório “Segurança robusta para o universo das pequenas e médias empresas”, que examina como as organizações desse segmento estão adotando a segurança cibernética para expandir seus negócios. Sabemos e entendemos que pequenas e médias empresas em todo o mundo enfrentam desafios sem precedentes em suas operações, principalmente neste momento difícil na vida de todos. Com tudo acontecendo agora, como a PME sabe em que se concentrar para se manter seguro? Como proteger sua empresa contra ataques se ela estiver operando com menos funcionários?
Neste relatório exploramos e desmistificamos 10 mitos que existem em torno da segurança cibernética para pequenas empresas.
O setor de segurança tem sido injustamente duro com as pequenas e médias empresas ao reconhecer o quanto elas priorizam a segurança cibernética. Com base em uma pesquisa com 500 PME’s – definidas aqui como organizações com 250 a 499 funcionários – e realizada em 13 países, incluindo Brasil e México na América Latina, o relatório revela que além de levarem a segurança muito a sério, este segmento tem usado a segurança cibernética de forma inovadora e empreendedora, garantindo o retorno dos investimentos.
É hora de eliminar alguns mitos sobre como as pequenas e médias empresas usam seus recursos de segurança cibernética. Aqui estão alguns destaques do que o estudo revelou:
Mito 1: Somente grandes organizações enfrentam julgamento público – em todas as suas formas
Falso, no ano passado, ambas enfrentaram o mesmo nível de julgamentos públicos
- 74% das PMEs receberam perguntas de clientes e prospects sobre como estavam lidando com seus dados, em comparação com 77% de grandes organizações.
Mito 2: Grandes organizações têm menos tempo de inatividade e se recuperam mais rapidamente dos ataques
Falso: as informações mostram que há uma pequena diferença entre o tempo de inatividade de uma empresa grande e de uma pequena
• No ano passado, 24% das PME’s enfrentaram períodos de inatividade de mais de oito horas devido à uma a violação de segurança mais grave, em comparação com 31% das grandes organizações.
Mito 3: As PME’s não têm pessoal dedicado à segurança
Falso: esse pode ser o caso de algumas, já que menos de 1% afirmaram não ter ninguém dedicado à segurança
• 60% relataram ter mais de 20 pessoas dedicadas, incluindo profissionais externos de um provedor.
Mito 4: Grandes corporações têm infraestrutura mais atualizada
Parcialmente verdade: 54% das grandes empresas dizem que sua tecnologia está atualizada em comparação com 42% das PME’s
94% das PME’s afirmam atualizar a infraestrutura regularmente ou constantemente
As ameaças afetam as organizações indiscriminadamente, independentemente do tamanho.
Mito 5: PME’s enfrentam ameaças diferentes das grandes empresas
Parcialmente verdade: embora as táticas sejam comparáveis, os criminosos são diferentes. Comparamos os tipos de ataques que as PMEs e as grandes empresas relataram ter experimentado no ano passado. Também comparamos a quantidade de tempo de inatividade causada pelos ataques. Muitos, como o ransomware, não discriminam por tamanho da empresa. As ameaças afetam as organizações indiscriminadamente, independentemente do tamanho.
Mito 6: As PME’s não são proativas na detecção de ameaças
Falso: 72% das PME’s têm funcionários dedicados à detecção de ameaças, em comparação com 76% das grandes organizações.
Mito 7: Pequenas empresas não testam seus planos de resposta a incidentes com exercícios
Falso. Apenas 1% das PME’s nunca realizam um teste do seu plano. 46% delas tentam a cada 6 meses, em comparação com 49% das grandes organizações.
Mito 8: A liderança das PME não leva a sério a segurança e a privacidade dos dados
Falso: usando dados de três perguntas da pesquisa sobre privacidade de dados, programas de conscientização de segurança cibernética e compromisso dos executivos com a segurança desde o início, demonstramos que esse mito não é real. A liderança executiva é informada e comprometida.
Mito 9: Organizações menores não corrigem regularmente vulnerabilidades
Falso: 56% das PME “aplicam patches” semanalmente ou semanalmente, em comparação com 58% das grandes empresas
Mito 10: As PME’s não podem medir a eficácia de seus programas de segurança
Falso: 86% das PME’s dizem ter métricas claras para avaliar a eficácia de seu programa de segurança, em comparação com 90% das grandes organizações.
Concluímos o relatório de onde as PME estão e para onde podem ir; especificamente, a necessidade de simplificar a segurança e a orientação para manter a segurança na mudança para uma força de trabalho remota.
Fazer da segurança o mais simples possível, mas não menos eficaz, há muito tempo tornou-se um guia. Porém encontrar dados para apoiar a eficácia de um menor número de fornecedores tem sido difícil de encontrar. Neste estudo, o maior número de fornecedores que nossos respondentes de pequenas e médias empresas usaram claramente traduziu em mais tempo de inatividade relatado do que sua violação mais grave. Isso variou de uma média de quatro horas usando um provedor a uma média de mais de 17 horas usando mais de 50 fornecedores. Esses dados são convincentes para dar suporte à tendência de consolidação do fornecedor.
Uma preocupação mais premente para muitos é a adaptação a uma postura de trabalho remoto. Com essa nova realidade em mente, muitos precisam de uma estratégia para proteger funcionários e dispositivos externos, além de oferecer suporte à flexibilidade e capacidade de resposta pelas quais as PMEs são conhecidas. No final, o relatório fornece informações para gerenciar esses desafios no contexto do que sabemos agora sobre a segurança da PME. Este é um guia prático que você pode colocar em funcionamento imediatamente.
Para ler o relatório completo acesse:
https://www.cisco.com/c/pt_br/products/security/smb-report-2020.html
Ghassan Dreibi
Diretor de Cibersegurança da Cisco América Latina