No Brasil as empresas de pequeno e médio porte em geral não se preocupam com a segurança da informação por não se acharem importantes o bastante para serem alvo de criminosos e, por consequência, não verem valor nisso.

Existe uma falta de entendimento sobre como a segurança é importante para o negócio e quais seriam as consequências de um ataque bem-sucedido. Se grandes empresas perdem milhões em grandes ataques, para empresas pequenas o dano pode ser catastrófico.

Porém, em tempos de crise, por onde começar? Siga os nossos passos:

Entenda a ameaça real

Um erro comum de pequenas e médias empresas é achar que elas não são um alvo, porém, o relatório Verizon Data Breach Investigations Report de 2015 notou que 60% dos ataques bem-sucedidos foram direcionados às pequenas e médias empresas justamente porque elas não têm a expertise e os recursos necessários para monitorar e gerenciar produtos de segurança no seu ambiente. O relatório também mostrou que os estragos não são em menores proporções quando se trata de empresas pequenas. Grandes empresas de fato têm perdas maiores, mas apenas porque têm mais registros para perder.

Outra razão para que as pequenas e médias empresas corram riscos é achar que basta se proteger para propósitos de compliance, porém, passar em auditorias não quer dizer que a empresa esteja segura. É comum o investimento em ferramentas como firewalls e sistemas de segurança básicos para cumprir com normas de auditorias, enquanto soluções mais modernas são ignoradas.

Segurança da informação é essencial para o negócio

No Brasil ainda são pequenos os investimentos em inteligência em segurança da informação. O budget ainda é direcionado para a troca de um equipamento ou outro que, no final, acaba não acrescentando em nada à segurança.

A falta de maturidade em segurança da informação das pequenas e médias empresas as leva a pensar que a segurança se resume à compra de novos aparatos tecnológicos e não à proteção dos dados. A compra de novos softwares são apenas uma parte da estratégia, que inclui a implementação de políticas de segurança para proteger os ativos da empresa.

Para isso é importante conhecer as vulnerabilidades do negócio, ter capacidade de quantificar o impacto dessas vulnerabilidades caso sejam exploradas, determinar o nível de risco aceitável e o que deve ser mitigado e só então pensar na implementação de tecnologias e processos para eliminar os riscos.

Escolha o melhor parceiro

Nas pequenas empresas é comum ter apenas uma pessoa responsável pela segurança da informação. Quando o negócio vai crescendo e as demandas aumentam é comum recorrer a um parceiro de segurança da informação, que oferecerá implementações, consultorias e serviços gerenciados de segurança (em inglês, Managed Security Service – MSS).

Para isso, é preciso considerar o nível de expertise e de recursos e procurar um serviço que proteja o ambiente durante 24h e sete dias por semana. A empresa precisa ter conhecimento dos produtos de segurança oferecidos e capacidade de detectar e solucionar ameaças, como o MSS PROOF.

Com Dark Reading