Segurança da informação em Pequenas e Médias Empresas

As pequenas e médias empresas, ao menos no Brasil, ainda se preocupam pouco com o assunto Segurança da Informação, entendendo-o como algo distante da sua realidade de mercado e/ou financeira.

Acredita-se que o nível de exposição ao risco cibernético seja diretamente proporcional ao grau de visibilidade que determinada empresa possui, principalmente quando se trata de presença digital de pequenas e médias empresas. Trata-se de um erro bastante comum

Acredita-se que o nível de exposição ao risco cibernético seja diretamente proporcional ao grau de visibilidade que determinada empresa possui, principalmente quando se trata de presença digital de pequenas e médias empresas. Trata-se de um erro bastante comum e, por isso, pouco se discute a respeito de investimentos mínimos em Segurança da Informação ou em controles que reduzam o risco do negócio.

Em maio deste ano, por exemplo, houve um ataque cibernético que afetou dezenas de milhares de computadores ao redor do mundo, o WannaCry, incluindo o Brasil. Várias empresas se viram obrigadas a desligar seus microcomputadores, pois a falha permitia que criminosos sequestrassem os arquivos das vítimas, fazendo com que essas não tivessem mais acesso a qualquer informação salva em seu computador, obrigando-as a decidir sobre perder a informação, ou pagar pelo resgate, através de  Bitcoins. Esse ataque é do tipo Ransonware ou sequestro de dados.

Diversas empresas pequenas, médias e grandes tiveram toda a sua operação de negócio comprometida em decorrência desse evento e levaram dias para se recuperar do ataque. Isso prova que nenhum negócio está imune: qualquer empresa que tenha o mínimo de conectividade está sujeita a esse tipo de ameaça.

O que poucos empresários sabem é que esse ataque só foi possível devido à falta de gestão e/ou segurança da informação por parte das empresas. O ataque ocorreu 60 dias depois da Microsoft ter lançado uma correção (MS17-010) para a falha que colocava em risco os clientes, um ataque anunciado.

Não é difícil e nem dispendioso para as PMEs se protegerem de ameaças cibernéticas desta natureza. Existem algumas ações simples que podem ser introduzidas no negócio e que servem como primeira linha de defesa

Não é difícil e nem dispendioso para as PMEs se protegerem de ameaças cibernéticas desta natureza. Existem algumas ações simples que podem ser introduzidas no negócio e que servem como primeira linha de defesa, tais como:

  • utilizar software legal;
  • atualizar frequentemente o sistema operacional das estações (geralmente Windows);
  • ter um sistema de Antivírus de preferência que controla navegação, mantendo-o sempre atualizado;
  • não abrir e-mails suspeitos, principalmente os que induzem a clicar em links ou entrar com seus dados pessoais em sites aparentemente inofensivos;
  • não abrir links suspeitos;
  • não navegar em sites de caráter duvidoso.

Ações como essas são básicas a serem adotadas para reduzir ao menos 50% as chances de sucesso de um agressor (Hacker) contra seus ativos de tecnologia.