A cibersegurança nas pequenas e médias empresas (PMEs) nem sempre recebe a atenção que merece, inclusive por parte das próprias organizações. Isso é preocupante por diversos motivos. Segundo o Fórum Econômico Mundial (WEF), as PMEs representam 90% das empresas no mundo, empregam cerca de 70% da força de trabalho global e respondem por aproximadamente 50% do PIB mundial. Com recursos mais limitados para investir em segurança da informação, é essencial direcionar esses investimentos de forma estratégica.

Para essas empresas, o objetivo deve ser construir resiliência cibernética, ou seja, a capacidade de manter as operações e se recuperar rapidamente, mesmo diante de um incidente grave. Mas por onde começar? A resposta está na prontidão cibernética, que consiste em implementar processos, políticas e controles capazes de prevenir, detectar e responder às ameaças. Um novo relatório da ESET mostra como as PMEs estão se preparando, quais são seus principais desafios e quais passos devem ser adotados para fortalecer sua segurança.

Cibersegurança como parte da operação do negócio

As pequenas e médias empresas (PMEs) enfrentam desafios muito semelhantes aos das grandes organizações. O cenário de ameaças evolui rapidamente, com cibercriminosos utilizando as tecnologias mais recentes para aumentar o volume, a escala e a velocidade dos ataques. Ao mesmo tempo, a superfície de ataque cresce a cada nova ferramenta digital adotada, os colaboradores continuam sendo um dos principais fatores de risco e as empresas precisam atender a um número cada vez maior de exigências regulatórias.

Segundo o relatório da ESET, 45% das PMEs sofreram um incidente cibernético no último ano, e 61% temem ser alvo de um ataque nos próximos 12 meses. As principais preocupações são a perda de dados, a interrupção das operações e os prejuízos financeiros.

Esses desafios são os mesmos enfrentados por diretores de segurança da informação (CISOs) e conselhos de administração das maiores empresas do mundo. Eles reforçam que a prontidão cibernética é um fator essencial para a continuidade dos negócios. Por isso, a segurança deve ser encarada como parte das operações da empresa, e não apenas como uma responsabilidade isolada da área de TI. Ela precisa estar integrada à cultura organizacional e aos processos do dia a dia.

Essa mudança de perspectiva é fundamental. Embora muitas PMEs consigam se recuperar após um incidente, 34% ainda levam entre duas e seis semanas para resolver o problema. Um período tão longo de interrupção pode comprometer seriamente a continuidade das operações e, em alguns casos, colocar em risco a sobrevivência do negócio.

IA sob a perspectiva das PMEs

O relatório também revela que a maioria das PMEs (73%) está incorporando inteligência artificial (IA) aos seus negócios, mesmo reconhecendo que isso trará novos riscos. Ao mesmo tempo, há preocupação com o potencial da IA nas mãos erradas. De fato, os malwares com recursos de IA foram apontados como a "ameaça mais preocupante" por uma parcela significativa dos entrevistados. Mas será que eles realmente merecem tanto destaque?

A verdade é que malwares que utilizam IA de forma automatizada e em tempo real ainda são incomuns, apesar do que muitas notícias possam sugerir. Casos desse tipo continuam sendo relativamente raros, tornando o tema mais relevante para pesquisadores de cibersegurança do que uma preocupação imediata para as PMEs.

Quando analisamos os incidentes cibernéticos reais, os principais responsáveis continuam sendo as ameaças já conhecidas. O phishing e a exploração de vulnerabilidades sem correção lideram a lista, em linha com dados de outras pesquisas, como o relatório mais recente da Verizon, que aponta a exploração de vulnerabilidades e o phishing entre os três principais vetores de acesso inicial utilizados contra PMEs. Senhas fracas e a falta de monitoramento de segurança também aparecem entre os fatores de maior risco nos dados da ESET.

No caso da inteligência artificial, a ameaça mais imediata vem de dentro das organizações. Segundo o DBIR, o uso não autorizado de ferramentas de IA, conhecido como shadow AI, é a terceira ação interna não maliciosa mais comum. Além disso, embora malwares baseados em IA ainda não representem a principal preocupação, a inteligência artificial e a automação estão permitindo que cibercriminosos ampliem suas capacidades e a escala de suas operações, seja para criar campanhas de engenharia social mais convincentes, pesquisar e explorar vulnerabilidades ou potencializar outras ameaças tradicionais.

Nesse contexto, as PMEs ouvidas pela ESET demonstram interesse em utilizar a IA para combater essas ameaças, empregando a tecnologia para antecipar ataques, identificar e mitigar incidentes com mais rapidez e detectar tentativas de engenharia social.

O desafio é que essas soluções ainda são limitadas ou, na prática, muitas PMEs ainda não conseguem aproveitá-las de forma efetiva.

A importância de agir antes do ataque

As PMEs que adotam treinamentos de conscientização em segurança cibernética já dão um importante passo para fortalecer sua postura de prontidão cibernética. Mas será que essa adoção acontece de forma preventiva? Segundo a ESET, a adesão a esses treinamentos é maior entre empresas que já enfrentaram múltiplos incidentes de segurança (81%, contra 53% entre aquelas que não passaram pela mesma experiência). Essas organizações também demonstram maior confiança em sua capacidade de resposta, possivelmente porque adotaram, ainda que de forma reativa, medidas de segurança alinhadas às melhores práticas.

No cenário ideal, as PMEs deixariam de agir apenas depois de sofrer um incidente e passariam a compreender os benefícios da prontidão cibernética antes que um ataque lhes imponha consequências significativas. Dessa forma, a segurança deixa de ser uma reação a crises e passa a fazer parte da estratégia de continuidade e resiliência do negócio.

Confiança em alta, vigilância constante

A boa notícia é que quatro em cada cinco entrevistados consideram que seu orçamento de segurança é suficiente ou mais do que suficiente, enquanto metade espera aumentar esse investimento no próximo ano. Esse cenário indica um planejamento mais estratégico e uma melhor alocação de recursos, incluindo a terceirização de serviços quando ela faz sentido do ponto de vista financeiro e operacional. Também demonstra confiança nos investimentos realizados até agora. No entanto, isso não significa que todas as PMEs estejam destinando recursos de forma proporcional aos riscos que mais podem comprometer seus negócios.

Mas será que essa confiança na resiliência cibernética é realmente justificada, especialmente quando muitas organizações continuam sofrendo múltiplos incidentes? A confiança cresceu significativamente, passando de 48% em 2022 para 87% neste ano. Ainda assim, a prontidão e a resiliência cibernéticas não têm um ponto final. Trata-se de um processo contínuo de aprimoramento. 

Em vez de considerar o trabalho concluído, as PMEs devem continuar priorizando:

  • Uma abordagem preventiva , com tecnologias e processos que incluam treinamentos de conscientização, aplicação regular de correções de segurança e gestão robusta de identidades.
  • Avaliações de risco frequentes e realistas , capazes de orientar a priorização dos investimentos em segurança.
  • Planos eficazes de resposta a incidentes , que permitam recuperar as operações mais rapidamente e reduzir o impacto dos ataques.
  • A terceirização de capacidades especializadas , quando apropriado, como serviços de Detecção e Resposta Gerenciadas (MDR).
  • O fortalecimento da governança para reduzir riscos associados ao uso de Shadow IT e Shadow AI.

A jornada está apenas começando

Apesar de um planejamento financeiro mais estratégico, um quarto das PMEs afirma que um orçamento maior permitiria fortalecer sua postura de cibersegurança com mais rapidez. Para empresas com recursos mais limitados, a complexidade e a integração das soluções continuam sendo desafios importantes. Por isso, elas buscam ferramentas e serviços que sejam confiáveis, completos e fáceis de implementar e utilizar.

O acesso a essas soluções não deveria ser tão difícil para as pequenas e médias empresas. Se o setor de tecnologia realmente pretende fortalecer a prontidão cibernética desse segmento, é fundamental que fornecedores ofereçam soluções mais acessíveis e adequadas às suas necessidades.

Ao mesmo tempo, não existe uma solução única capaz de eliminar todos os riscos. As PMEs já demonstram avanços importantes na construção de sua resiliência cibernética, mas esse é um processo contínuo. À medida que a tecnologia evolui e as ameaças se tornam mais sofisticadas, manter uma postura de vigilância constante e capacidade de adaptação será essencial para garantir a segurança e a continuidade dos negócios no longo prazo.