O mesmo se passa com as organizações que são alvos dos criminosos: apenas por uma pequena companhia ser relativamente desconhecida não significa que está a salvo de ataques. As PMEs estão a ser alvo de ataques graças ao alargamento da rede de potenciais alvos para ciber-criminosos. Uma pesquisa levada a cabo em 2013 pelo Departamento de Negócios, Inovação e Competências do Governo do Reino Unido deu a conhecer que as pequenas empresas estão nos dias que correm a enfrentar a maior ameaça de perda de informação confidencial através de ciberataques da história. Oitenta e sete por cento dos pequenos negócios – em todos os setores – já tiveram experiências com falhas de segurança em 2012, um aumento significativo face aos 76% de 2011. Além disso, o custo médio da pior falha de segurança para pequenas empresas variou entre as 40.000 e 75.000 Euros.

 

Por que razão sou eu o alvo?

Com a tendência atual dos ataques de spear-phishing e a perfis de redes sociais como meio de conseguir acesso a redes, os criminosos focam-se em organizações que têm ativos com um valor específico. As PMEs podem ser os alvos privilegiados para servirem de degrau para um ataque a uma empresa parceira, explorando as falhas existentes na cadeia de relacionamentos entre ambas.

Uma start-up da área de TI, por exemplo, pode ter apostado no desenvolvimento de propriedade intelectual para um parceiro de grandes dimensões, ou uma pequena empresa de R.P. poderá por exemplo ter em sua posse informação sensível sobre um futuro negócio de um cliente cotado em bolsa. Foi este o cenário vivido na falha de segurança de Global Payments de 2012, que afetou centenas de milhares de clientes Visa e MasterCard. Neste caso, uma empresa mais pequena detinha dados importantíssimos, difíceis de obter atacando empresas de maiores dimensões, e foi ela o alvo primordial. Os atacantes beneficiam ainda com o facto de as pequenas empresas contarem com um controlo de segurança menos apertado e com menos layers de proteção.

Claro está que este poderá não ser sempre o caso, mas existe geralmente uma correlação entre a dimensão da empresa e o tempo e recursos que ela consegue atribuir à segurança e à gestão da mesma. As organizações usam tipicamente cerca de 6% do seu orçamento de TI em segurança – o que significa que as companhias com orçamentos mais apertados precisam de alocar esse valor da forma mais inteligente possível.

 

A lista de compras de segurança

Assim, em que tipo de segurança devem as organizações investir? No que respeita a proteção, as mesmas regras que se aplicam às grandes empresas devem ser consideradas para as PMEs: é necessário decidirem quais dos seus ativos são críticos para o negócio, para depois implementarem soluções e políticas de forma a protegê-los e mitigar os riscos.

Até há pouco tempo, este facto implicaria que as pequenas empresas fizessem um generoso e desproporcional investimento em segurança. No entanto, dois desenvolvimentos permitiram que as PMEs consigam proteger os seus bens com segurança de nível empresarial.

Antes de tudo, o modelo de cloud permite que as organizações implementem soluções de segurança mais rapidamente, que adjudiquem a gestão da segurança a terceiros (com atualizações de ameaças e de soluções geridas pelo providerda plataforma de segurança na cloud) e, claro está, com uma necessidade de investimento de capital inicial nula ou baixa, assim como com custos mensais previsíveis. Além disso, existe a hipótese de facultar serviços avançados e integrados desta forma – desde antivírus e firewalls até sistemas de controlo de social media e de aplicações web. Desta forma, as empresas podem focar-se nos requisitos dos seus negócios e no seu crescimento, deixando a proteção de rede a cargo de profissionais. Existe um abrangente conjunto de serviços de segurança na cloud disponível pelas mãos de empresas líderes de segurança, pelo que estes serviços se tornam em opções atraentes para empresas que procuram minimizar os seus gastos. À medida que as ameaças de segurança se tornam mais sofisticadas e cada vez mais frequentes, é cada vez mais complicado para as empresas manterem-se no controlo da situação – mesmo para as empresas com mais e melhores recursos – pelo que os serviços de segurança na cloud totalmente geridos por terceiros podem ser uma forma de acabar com as dores de cabeça inerentes à gestão de segurança nas pequenas empresas.

A segunda opção torna-se possível através da queda acentuada do custo de appliances de segurança que podem ser colocadas nas instalações do cliente, e que são flexíveis e atualizáveis. Este facto permite um cenário de segurança abrangente e integrada que estava anteriormente apenas ao alcance de grandes empresas - composto por virtual private networking, prevenção de intrusões, anti-spam, controlo aplicacional, e filtragem de URL – esteja agora acessível por centenas, e não milhares, de euros. Para muitas empresas, este facto coloca a segurança avançada muito mais perto dos supramencionados 6% de gastos de TI.

 

O peso da educação

Como mencionado anteriormente, o tamanho de uma organização não tem qualquer influência sobre a sua disponibilidade de segurança. Um contributo chave para este facto é a consciência dos seus colaboradores face às questões de segurança de TI. No nosso relatório de segurança de 2013, descobrimos que 54% de quase 900 organizações inquiridas a nível global foram alvo de pelo menos um incidente de perda de dados como resultado de um engano no envio de email para um destinatário exterior, ou de colocação indevida de informação online. Percebemos ainda que 52% dos colaboradores se arriscam a incorrer numa falha de segurança no seu local de trabalho ao se permitirem adotar comportamentos que podem comprometer a mesma.

Autor : Rui Duro, Sales Manager de Check Point Portugal

São estes simples erros humanos que os criminosos querem explorar: levando um colaborador a clicar num link num email de phishing que irá infetar o seu PC, ou levando-o a inadvertidamente publicar informação sensível no website errado. Infelizmente, a nossa natureza leva-nos a confiar uns nos outros, e é uma postura difícil de contrariar, já que os colaboradores querem ajudar e sentir que estão a desempenhar as suas tarefas eficazmente.

É precisamente aqui que a educação dos colaboradores pode ter um papel decisivo na significativa melhoria dos níveis de segurança: fazendo com que eles tenham consciência dos potenciais riscos e ameaças, e de como o seu comportamento pode mitigar estes riscos evitando emails de phishing, falsos websites e outras ameaças. E é neste caso em particular que as pequenas empresas estão em vantagem: contam com menos colaboradores para educar. Estas pequenas medidas podem muitas vezes fazer a diferença entre um incidente de segurança e uma “situação normal”.