As pequenas e médias empresas geralmente ficam de fora da conversa sobre segurança cibernética, com a maior atenção voltada para as grandes empresas.

Este não deveria ser o caso, já que as pequenas e médias empresas são a espinha dorsal da economia, empregando um grande número de pessoas e fornecendo o motor para a prosperidade do Brasil.

Em comparação com empresas maiores, as pequenas e médias empresas têm menos recursos financeiros, técnicos e humanos para produzir uma forte postura de segurança cibernética. Isso significa que uma solução terceirizada baseada em nuvem, na qual a empresa paga apenas pelo que precisa, quando precisa, é o caminho a seguir para organizações de pequeno e médio porte.

Olhando para as ameaças

Uma das maiores ameaças enfrentadas por empresas de todos os portes é o ransomware, no qual criminosos se infiltram na rede comercial, criptografam arquivos e exigem pagamento para restaurá-los.

Se os dados forem criptografados, o negócio não pode funcionar normalmente, colocando-o em um buraco negro monetário por causa do preço que deve pagar, que disparou nos últimos anos.

De acordo com o relatório Webroot BrightCloud Threat 2021 , no final de 2018, o pagamento médio de ransomware era de US$ 6.733. No final de 2019, esse número havia crescido 1.100%, para US$ 84.116, e só aumentou desde então, chegando a US$ 233.871 no último trimestre de 2020. Além disso, os ataques de ransomware podem se estender além do financeiro impacto, afetando a reputação das empresas e a confiança do cliente, e com tempo de inatividade prolongado, afetando também as operações e os processos downstream.

Proteção em camadas é a resposta

As pequenas e médias empresas dependem cada vez mais de serviços em nuvem, como GSuite e Microsoft365, para realizar o trabalho. O que nem sempre é aparente para os clientes é que os pacotes de produtividade baseados em nuvem não são imunes a hackers. Na verdade, o contrato de licença do Microsoft365 afirma que os clientes devem procurar um serviço de backup de terceiros se quiserem proteger seus dados. A Microsoft pode fornecer o software, mas não fornece automaticamente o backup e a segurança de que as pequenas e médias empresas precisam.

Com muito trabalho sendo feito na nuvem, as PMEs precisam ter uma abordagem em camadas para a segurança, com backup redundante e automatizado para seus softwares e dados comerciais.

Um dos melhores vetores que uma empresa pode adotar nessa abordagem de segurança e backup em camadas é educar seus usuários. O treinamento regular, repetido em intervalos, ajudará a equipe a detectar e-mails maliciosos e a identificar anexos duvidosos que podem levar a um ataque de ransomware.

No entanto, mesmo com o melhor treinamento, juntamente com outras camadas de segurança, como filtragem da Web e DNS, erros podem acontecer e ainda há uma chance de sua empresa ser atingida por ransomware. Uma das melhores maneiras de se recuperar de um ataque é estabelecer uma estratégia redundante de backup e recuperação. Sem uma estratégia de recuperação e backup de dados independente, é muito improvável que sua empresa consiga se recuperar rapidamente de um ataque. Na verdade, pode não se recuperar.

Então, como as PMEs protegem seus ativos? Primeiro, determine se você possui os recursos para proteger adequadamente seus dados internamente. Caso contrário, considere trabalhar com um provedor de soluções gerenciadas que possa obter e gerenciar esses serviços para você.

Em segundo lugar, tenha uma estratégia sólida de backup e recuperação. Use um serviço de backup automatizado terceirizado para seus dados e software em nuvem. Com serviços de backup automatizados, os usuários não precisam copiar arquivos manualmente ou lembrar de fazê-lo.

Em terceiro lugar, implemente uma campanha educacional abrangente. Nossa pesquisa mostra que a execução de campanhas recorrentes de conscientização para os usuários diminui enormemente a probabilidade de que eles tomem uma ação que possa resultar em uma infecção por malware. As organizações que adotam o treinamento contínuo de conscientização de segurança observam uma redução de 72% nos usuários que clicam em links em e-mails de phishing. Ao contrário de outros tipos de treinamento, como compliance, que ocorre apenas uma vez por ano, o treinamento contínuo de conscientização de segurança é necessário para maximizar a eficácia devido à natureza em rápida mudança do cenário de ameaças.

As pequenas e médias empresas sempre serão vulneráveis ​​a ataques, mas, ao aumentar a educação do usuário e estabelecer fortes medidas de segurança, seja internamente ou com a ajuda de um MSP, as pequenas e médias empresas podem diminuir significativamente a probabilidade de seus negócios serem prejudicados por um ataque ransomware.