Um dos mitos sobre cibersegurança é que pequenas e médias empresas (PMEs) não seriam alvo do cibercrime por serem "pequenas demais" em comparação com grandes corporações.

No entanto, segundo o Data Breach Investigations Report 2025 da Verizon, as PMEs foram quase quatro vezes mais vítimas que grandes organizações. Isso se deve tanto à enorme quantidade de PMEs em atividade quanto ao fato de que os cibercriminosos não as descartam como alvo.

O ransomware está presente em 88% das brechas sofridas por PMEs, uma proporção muito maior do que nas grandes empresas (39%) e significativamente acima do esperado. Apesar de grandes corporações receberem mais ataques no total, o impacto do ransomware é desproporcional nas PMEs, representando a maior parte das brechas nesse tipo de empresa.

Diante desse cenário, adotar medidas concretas de prevenção é essencial para proteger as PMEs de ciberataques.

12 controles básicos de cibersegurança para PMEs

A seguir, detalhamos os 12 controles básicos de cibersegurança para esse tipo de empresa.

1. Autenticação multifator (MFA)

É importante entender que a autenticação multifator é um sistema de segurança que protege o acesso a contas e aplicativos, solicitando dois ou mais métodos de verificação da identidade do usuário, em vez de apenas a senha. Esse fator pode ser algo que a pessoa sabe (senha ou PIN), possui (celular) e/ou é (impressão digital ou reconhecimento facial).

A ativação do MFA deve ser obrigatória em e-mails (Microsoft ou Google), VPN e qualquer tipo de conta administrativa. Por quê? Para eliminar o acesso baseado apenas em "usuário e senha" nos pontos mais críticos, reduzindo significativamente o risco de ataques de phishing, vazamento de credenciais e ataques de força bruta.

Critério de conformidade: Nenhum acesso sensível deve funcionar apenas com "usuário e senha".

2. Senhas

Outro ponto fundamental é o uso de um gerenciador de senhas, além de garantir que cada senha seja única.

Um gerenciador de senhas é uma ferramenta projetada para armazenar credenciais de acesso de forma segura, protegendo-as com criptografia. Isso significa que você precisará lembrar apenas de uma senha ou chave mestra, que dará acesso a todas as credenciais armazenadas. Além disso, esses gerenciadores geralmente oferecem uma função para gerar senhas fortes e complexas.

O objetivo é minimizar o risco de reutilização de senhas e fortalecer a gestão de credenciais em toda a organização, reduzindo a exposição a vazamentos, ataques de força bruta e phishing.

Critério de conformidade: Nenhum usuário deve reutilizar senhas e o gerenciador deve estar instalado em todos os dispositivos (PC e/ou celular).

3. Atualizações automáticas e correções (patches)

Uma das principais portas de entrada para cibercriminosos são softwares desatualizados, que exploram vulnerabilidades conhecidas em sistemas operacionais, navegadores e aplicativos de uso diário.

Como reduzir esse risco? Ativando as atualizações automáticas em todos os dispositivos, aplicativos e programas, evitando depender da memória ou disponibilidade do usuário.

Critério de conformidade: Todos os dispositivos devem ter a última versão instalada automaticamente, garantindo que cada patch de segurança seja aplicado assim que estiver disponível.

4. Backups

Diante do ransomware, uma das maiores ameaças às PMEs, os backups se tornam uma medida preventiva essencial. Eles também ajudam a corrigir falhas técnicas e erros humanos.

Uma boa prática é seguir a regra 3-2-1-1-0: ter 3 cópias dos dados, em 2 tipos de mídia diferentes, 1 armazenada fora do local principal e 1 offline ou imutável, garantindo assim 0 erros de restauração. O ponto crucial é manter pelo menos uma cópia desconectada da rede ou configurada como imutável na nuvem, protegida contra alterações de cibercriminosos.

Critério de conformidade: É possível restaurar um arquivo recente sem erros, validando que a cópia funciona na prática e não apenas na teoria.

5. Filtro de e-mails e bloqueio padrão de macros

O e-mail continua sendo um dos vetores de ataque mais comuns, usado em campanhas de phishing ou arquivos maliciosos que se passam por documentos legítimos. Por isso, é essencial ativar filtros anti-phishing e anti-spam.

Além disso, é importante bloquear por padrão a execução de macros em documentos do Office e formatos similares. Macros são frequentemente usadas por cibercriminosos para executar códigos maliciosos sem que o usuário perceba, devendo ser habilitadas apenas em casos específicos e previamente aprovados.

Critério de conformidade: Qualquer arquivo com macros deve exigir aprovação explícita antes de ser executado, evitando que o usuário clique por hábito e fique exposto.

6. Acessos remotos seguros

É importante deixar claro: ter o Protocolo de Área de Trabalho Remota (RDP) exposto diretamente à internet é como deixar a porta do escritório aberta 24 horas, sem nenhuma proteção. Isso permite que atacantes realizem ataques de força bruta ou explorem vulnerabilidades conhecidas.

A recomendação é bloquear o acesso RDP pela internet e permitir conexões apenas por meio de uma VPN protegida com MFA, garantindo que apenas usuários autorizados acessem o ambiente interno, com uma camada extra de validação.

Critério de conformidade: Nenhum porta RDP deve estar acessível fora da rede corporativa.

7. Princípio do menor privilégio

Conceder mais permissões do que o necessário a certos usuários pode ser perigoso, abrindo brechas para que cibercriminosos escalem dentro da rede. O Princípio do Menor Privilégio garante que cada usuário tenha apenas os acessos estritamente necessários para suas funções.

Na prática, isso envolve separar contas administrativas das contas de uso diário e aplicar políticas de desativação imediata para contas inativas ou de ex-funcionários. O objetivo é reduzir a superfície de ataque e evitar que credenciais com privilégios elevados fiquem expostas.

Critério de conformidade: Nenhum usuário deve usar uma conta administrativa para tarefas diárias, e contas inativas devem ser eliminadas de forma eficiente e sistemática.

8. Proteção dos endpoints

Os dispositivos dos usuários (PCs, notebooks, celulares) são alvos frequentes de cibercriminosos, por isso é essencial torná-los a primeira linha de defesa das PMEs.

O recomendado é não depender apenas de um antivírus tradicional, mas implementar uma solução de EDR (Endpoint Detection & Response) ou um antimalware/antiransom avançado capaz de detectar comportamentos suspeitos.

O objetivo é garantir que todos os dispositivos da organização estejam protegidos e atualizados, além de permitir gestão centralizada, oferecendo visibilidade em tempo real para ações rápidas.

Critério de conformidade: A console deve mostrar todos os endpoints protegidos e atualizados.

9. Inventário de dispositivos e softwares

Não se pode proteger aquilo que não se conhece. Por isso, uma ação básica de cibersegurança é manter um inventário atualizado de todos os dispositivos (PCs, notebooks, servidores) e softwares instalados, identificando o que está em uso e o que está obsoleto ou fora de controle.

Após o levantamento, devem ser removidos os aplicativos não utilizados, reduzindo riscos, simplificando atualizações e diminuindo a superfície de ataque.

Critério de conformidade: Não deve haver softwares desconhecidos ou aplicativos sem uso instalados, e o inventário deve refletir com precisão todos os equipamentos operacionais da organização.

10. Política de segurança para dispositivos móveis

Toda a vida digital passa pelas mãos. Hoje, os celulares armazenam informações tão críticas quanto um PC: senhas, e-mails e aplicativos corporativos. Se não forem gerenciados corretamente, tornam-se alvos fáceis para cibercriminosos.

Uma boa prática é implementar uma política de segurança móvel, especialmente em ambientes BYOD (Bring Your Own Device), onde dispositivos pessoais também são usados para trabalho. A política deve incluir PIN ou biometria obrigatória, criptografia do dispositivo, capacidade de apagar remotamente e separação clara entre dados pessoais e corporativos.

Critério de conformidade: Todos os dispositivos móveis que acessam e-mails e recursos corporativos devem atender a esses requisitos básicos de segurança.

11. Filtragem de DNS/URL

As PMEs também podem ser vítimas de ataques quando um colaborador acessa sites comprometidos ou maliciosos. Para reduzir esse risco, é fundamental implementar filtragem de DNS e URLs.

Sua importância está em bloquear automaticamente domínios conhecidos como perigosos, evitando que usuários acessem páginas que possam instalar malware ou tentar obter dados por phishing.

Critério de conformidade: Domínios maliciosos devem ser bloqueados automaticamente, sem intervenção do usuário.

12. Treinamento breve e contínuo

A cibersegurança não depende apenas da tecnologia; o fator humano é fundamental. Mesmo as melhores ferramentas podem ser insuficientes se os usuários não identificarem ameaças como e-mails de phishing ou links maliciosos.

A recomendação é realizar treinamentos regulares, de cerca de 10 minutos por mês, enfatizando ações como não inserir credenciais em links suspeitos e reportar e-mails duvidosos. Para reforçar o aprendizado, podem ser usadas simulações de phishing e a criação de um canal claro para dúvidas ou incidentes.

Critério de conformidade: A equipe deve saber identificar riscos e a quem reportá-los, garantindo que o treinamento se traduza em ações concretas diante de ameaças reais.

Considerações finais

O contexto atual exige que as PMEs reavaliem sua cibersegurança, entendendo que ela não é uma opção, mas uma prioridade. A implementação desses 12 controles básicos cria uma base sólida para reduzir de forma rápida e significativa o risco de incidentes que comprometam a continuidade do negócio.

Ações como ativar MFA, manter softwares atualizados, realizar backups e treinar a equipe são medidas concretas que podem ser adotadas imediatamente. O ideal é contar com uma solução de segurança integral que suporte essas práticas. Ferramentas que combinam proteção de endpoints, detecção de comportamentos suspeitos e gestão centralizada ajudam a aplicar as políticas em todos os dispositivos, minimizando erros humanos e tecnológicos.

Implementar cada um desses controles é um passo rumo a uma empresa mais resiliente e preparada, enfrentando ameaças que não discriminam pelo tamanho da organização.