Share the post "9 sinais alarmantes de falta de segurança informática nas PMEs"
As pequenas e médias empresas (PMEs) estão, na sua generalidade, demasiado expostas a ciberataques, sobretudo devido às vulnerabilidades dos seus sistemas informáticos. Curiosamente, há a tendência generalizada para achar exatamente o contrário. Ou por considerarem que os seus ativos não são tão valiosos como os das grandes empresas ou, simplesmente, por falta de informação ou de preocupação com o assunto.
É certo que as grandes empresas são recorrentemente alvos de ciberataques, mas os níveis de proteção dos seus sistemas são bem mais elevados do que os das PMEs.
De acordo com a Associação Empresarial de Portugal (AEP), no último ano, uma em cada quatro empresas foram vítimas de um ciberataque. Esta é, indiscutivelmente, uma das maiores ameaças com que as empresas, sobretudo as PMEs, se deparam atualmente, contabilizando perdas de receitas, clientes, oportunidades de negócio, reputação empresarial e, não raras as vezes, de sobrevivência do próprio negócio.
O preconceito de que as PMEs estão a salvo de ataques pode gerar uma cultura de desleixo em termos de prevenção contra os crimes informáticos e, assim, criar diversas vulnerabilidades. Para reverter este quadro, torna-se cada vez mais urgente para as PMEs investir em cibersegurança e, antes disso, perceber quais as vulnerabilidades que, diariamente, colocam em risco a integridade dos seus sistemas.
9 problemas que colocam em causa a segurança informática nas PMEs
1. Utilização de sistemas obsoletos
Garantir a segurança do sistema de uma empresa tem de ser, em primeiro lugar, uma prioridade para si, se é administrador/gestor de uma PME. A mudança da cultura empresarial é, no que à cibersegurança diz respeito, da sua inteira responsabilidade.
Mesmo que tenha um perfil mais conservador, que ainda resiste às novas tecnologias, adote uma postura preventiva e atualize os serviços vitais de informação da empresa.
Recorde-se que sistemas antigos podem ser facilmente ‘hackeados‘, colocando em risco os ativos e o próprio funcionamento do seu negócio. Verifique o que precisa de ser atualizado e que tecnologias são as mais adequadas para o perfil da sua empresa. Um sistema seguro oferece flexibilidade, credibilidade, escala e competitividade.
2. Inexistência de ferramentas de segurança ou falta de atualizações
Além da atualização dos sistemas em geral, é necessário instalar e/ou atualizar frequentemente antivírus e firewalls sob o risco da empresa ficar ainda mais exposta a ciberataques.
Para se precaver contra as ameaças digitais, os antivírus auxiliam a proteger e a identificar malware nos computadores e demais dispositivos. Já uma boa firewall examina todos os pacotes de dados que entram na sua rede privada e certifica-se de que estes dados são legítimos, filtrando pacotes que considera suspeitos.
3. Inexistência de backups de dados e de planos de contingência
Imagine os seguintes cenários: os servidores deixam de funcionar, o sistema pode ser invadido por hackers ou infetado por malware. Para antecipar estes e outros cenários, as empresas devem fazer regularmente um backup de dados. A partir deste backup, a recuperação de dados é rápida e pouco afeta o normal funcionamento do negócio.
Já o plano de contingência é essencial para que os TI saibam como proceder caso se coloque alguns dos cenários acima descritos. Deste modo, a atividade empresarial poderá ser restabelecida num curto espaço de tempo e, mais importante do que isso, com o mínimo de prejuízo.
4. Falta de confidencialidade
Seja qual for o ramo de atuação da sua empresa, partimos sempre do princípio que a confidencialidade é um princípio básico para o sucesso da sua atividade empresarial.
Quando está em causa a segurança da informação, as consequências a este nível podem ser devastadoras. Referimo-nos à reputação da empresa e à marca que esta representa, pois ninguém no mercado quer estar associado a uma empresa com problemas de confidencialidade.
5. Falta de uma hierarquia de acesso ao sistema
Além de rever com regularidade os parâmetros de configuração de segurança dos serviços utilizados no dia a dia (e-mail e redes sociais, por exemplo), torna-se necessário estabelecer permissões para restringir acessos ao sistema. Isto porque dados sensíveis, informações estratégicas, jurídicas e/ou financeiras não devem estar disponíveis para todos os funcionários da empresa.
6. Utilização de softwares piratas
Este é outro dos sinais alarmantes de falta de segurança informática de uma empresa. A utilização de softwares pirateados é uma estratégia de poupança de custos que pode sair bem cara – pois é precisamente no “crack” de ativação que vêm os malwares, trojans e vários outros tipos de ameaças que passam a ter acesso aos dados do sistema.
7. Pouca atenção aos dispositivos de armazenamento de dados
A este propósito é importante reforçar a proteção de dados existente na cloud ou noutro qualquer dispositivo de armazenamento. Mantenha sempre os dados encriptados, de forma a que possam ser vistos apenas por quem possui acesso a esses mesmos dados. Além disso, é crucial que faça, com alguma regularidade, backups dos dados armazenados.
Outra questão que, a este respeito, importa considerar é, por exemplo, o quão bem conhece o seu fornecedor de serviço cloud. Isto porque, como as empresas consideram a cloud um serviço de outsourcing, não se preocupam muitas vezes em informar-se sobre as suas técnicas de manutenção, gestão e segurança dos dados que lá estão armazenados. Informe-se convenientemente.
8. Inexistência de uma política de segurança
Avalie a necessidade de contratar Contratar um Chief Security Officer (CSO). Além de ter um papel fundamental no desenvolvimento de uma estratégia de segurança para a empresa, cabe ainda ao CSO:
- Acompanhar eventuais auditorias, garantindo a conformidade com as políticas de segurança;
- Estabelecer normas associadas ao desenvolvimento, implementação e manutenção de processos de segurança, a fim de proteger a propriedade intelectual da empresa. A este respeito, uma das suas responsabilidades será a de criar um documento de políticas de cibersegurança e gestão de riscos cibernéticos. Neste documento deverão constar todos os procedimentos de cibersegurança da empresa, bem como as respostas a dar em caso de ciberataque;
- Antecipar eventuais riscos e danos de um ataque;
- Definir os custos de uma mitigação, bem como o seu impacto;
- Aumentar a resiliência geral face ao ciber-risco, através do planeamento contínuo dos diversos cenários e respetivas respostas;
- Como líder executivo, tem ainda a função de criar uma cultura de segurança, educando colaboradores para, por exemplo, não seguirem links que sejam provenientes de uma fonte não credível.
9. Inexistência de seguros contra as ameaças digitais
Atualmente, nenhuma empresa está imune a ciberataques, a interrupções de rede, de serviços ou de negócios ou mesmo a violações de dados. Contratar um seguro contra ciberataques é, por isso, um investimento inteligente para qualquer empresa, sobretudo agora que o Regulamento Geral de Proteção de Dados (RGPD) está em vigor.
Apesar das empresas estarem muito mais inclinadas para investirem em seguros que protegem ativos tangíveis do que em seguros específicos para cibersegurança, o ambiente regulatório vigente poderá, a curto prazo, alterar esta tendência – uma vez que o impacto financeiro que a perda e violação de dados representa poderá, em muitos casos, ser muito superior àquele que envolve danos patrimoniais e/ou equipamentos.
Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:
- Ativos digitais danificados ou perdidos, como dados e software;
- Perdas de oportunidades de negócios ou aumento de custos operacionais devido a uma interrupção dos sistemas da empresa;
- Extorsão cibernética se o hacker detiver os dados do segurado para resgate;
- Dinheiro roubado através de um cibercrime;
- Violações de segurança da confidencialidade dos funcionários;
- Perda de dados e informações dos clientes;
- Notificação do cliente após uma violação de segurança;
- Esforços de relações públicas, sobretudo no que toca a assegurar a reputação da empresa e violações de propriedade intelectual.