Cibersegurança: as recomendações para as PME

As PME têm grandes desafios a vencer na área da cibersegurança devido à dificuldade em recrutar profissionais qualificados. Mas é importante que desenvolvam soluções mais resilientes para enfrentar ciberataques, defende Ben Aung, Chief Risk Officer da Sage.


As ciberameaças estão em permanente mudança, exigindo uma elevada capacidade de adaptabilidade para as organizações de todas as dimensões. Contudo, para as pequenas e médias empresas (PME), essa tarefa pode ser particularmente árdua. Um estudo recente da Sage revela que cerca de metade das PME à escala global (48%) enfrentaram pelo menos um incidente de cibersegurança no ano passado.

Em Portugal, os desafios não são menos relevantes: mais de metade (55%) das PME em Portugal acreditam que educar as equipas sobre as ameaças à cibersegurança é neste momento o principal desafio para desenvolver a designada “ciber-resiliência”. Ao mesmo tempo, 40% das PME portuguesas reconhecem as dificuldades em recrutar pessoas com competências para fazer frente a este tipo de ameaças.

A escassez de especialistas dedicados à cibersegurança significa que os efeitos de um ciberataque podem ser fulminantes. Isso não significa que as PME devam ser agentes passivos perante as ciberameaças. Pelo contrário, é possível desenvolver alguns princípios básicos que possam ser implementados de forma fácil, rápida – e, em particular, sem a necessidade de uma equipa de TI especializada. Se considerarmos que 71% das PME em Portugal consideram a cibersegurança como parte integrante da sua cultura de trabalho atual, o momento é propício para pôr em prática estas medidas básicas.


Identificar as vulnerabilidades

Em primeiro lugar, as empresas precisam de identificar as suas vulnerabilidades, para garantir que as ferramentas e as estratégias implementadas são adequadas para as suas necessidades específicas e têm em consideração a proteção dos seus bens mais preciosos. Por exemplo, no caso de um negócio de comércio online o principal ativo a proteger será o website da loja de comércio eletrónico, enquanto no caso de um fabricante industrial esse ativo será a própria tecnologia operacional. Um aspeto comum a todas as empresas é a necessidade de proteção dos dados pessoais dos clientes e funcionários. Para ser eficaz, este processo de identificação de ativos fundamentais e das suas vulnerabilidades deve incluir os stakeholders de diferentes partes da organização. Isto permite, por um lado, que todos os sistemas importantes sejam incluídos e, por outro, garantir a adesão de todos, reduzindo o risco ao implementar medidas de cibersegurança.


Autenticação de dois fatores

Com a digitalização, a ativação da autenticação de dois fatores (2FA, iniciais de “2 Factor Authentication”) tornou-se imperativa. Esta medida de segurança cria um obstáculo significativo para os cibercriminosos, visto que nem mesmo uma palavra-passe roubada lhes concederá acesso não autorizado a um sistema. Ao utilizar um código único, enviado para um dispositivo pessoal – como um smartphone ou um hardware token – o acesso só é possível a quem possui o dispositivo físico.

 

Reforçar a segurança da cloud

Da mesma forma, à medida que a tecnologia progride, as empresas devem tirar partido das vantagens de segurança proporcionadas pela cloud. Hoje, fornecedores especializados de serviços na cloud oferecem infraestruturas de segurança de última geração para PME, melhores do que muitas organizações conseguem criar e administrar localmente.Estes serviços, não só fornecem segurança robusta e simplificada, como também uma solução económica que reduz a carga das equipas internas de TI. Isto é especialmente importante se considerarmos que, segundo a Sage, apenas 10% das PME têm um gestor de segurança dedicado que pode monitorizar e responder a ciberameaças.

 

Deteção e resposta de endpoint

O atual cenário em que as ciberameaças estão em constante evolução, requer formas de pensar evoluídas sobre a cibersegurança. Não é de estranhar, por isso, que os sistemas de antivírus tradicionais estejam agora a ser ultrapassados por ferramentas de deteção e resposta de endpoint (EDR, iniciais de Endpoint Detection and Response), consideradas nada mais do que autênticos game-changers. Soluções como o Defender for Endpoint da Microsoft podem ser integradas nos dispositivos da empresa, oferecendo monitorização vigilante contra comportamentos potencialmente maliciosos. Com uma resposta em tempo real às ameaças, muitas vezes sem necessidade de intervenção humana, o endpoint consegue com que as ameaças sejam detetadas e neutralizadas rapidamente, minimizando os danos.

 

Formação e cultura de cibersegurança

Embora a tecnologia ofereça muitas soluções, o elemento humano continua a ser crucial. É por isso que priorizar a formação em cibersegurança junto dos funcionários é fundamental. Através de workshops e sessões de formação regulares, os funcionários podem estar informados sobre as ameaças mais recentes, como o problema sempre persistente do phishing. Uma organização que promove o diálogo aberto em torno da cibersegurança garante que cada membro se sente responsável pela segurança digital coletiva. Assim, a equipa torna-se vigilante, capaz de detetar e denunciar atividades suspeitas.

 

Preparação para incidentes

Por último, as empresas devem desenvolver um plano de ação no caso de emergências. Isto envolve identificar os dados e sistemas que são essenciais nas operações diárias e elaborar planos de contingência. Esses planos devem considerar os piores cenários, como fugas de dados graves ou ataques de ransomware. Ter uma estratégia de resposta coordenada pode ser a diferença entre um pequeno contratempo e uma crise. A preparação garante reações rápidas e coordenadas durante incidentes, reduzindo significativamente o tempo de inatividade, custos e reputação.


Manter a simplicidade é a chave 

A cibersegurança não tem de ser um objetivo inatingível. Embora muitos aspetos sejam altamente técnicos, compreender os conceitos básicos de ciber-resiliência deve ser simples e fácil de implementar. Adotar estas medidas reduzirá a probabilidade de um ataque bem-sucedido e garantirá também que as PME estão mais preparadas para agir eficazmente.


Ben Aung
Chief Risk Officer da Sage


Artigo de opinião publicado em SapoTek