Pequenas e médias empresas enfrentam riscos de cibersegurança e privacidade

Especialista da Macher Tecnologia alerta para a fragilidade de pequenas e médias empresas em relação à privacidade e no combate a ataques cibernéticos. Premissas equivocadas em cibersegurança, orçamento limitado, políticas ineficientes, vulnerabilidades, erros humanos e medidas inadequadas estão entre os fatores que ampliam o problema.

Números recentes mostram que 46% dos ataques afetam empresas deste porte. Quando cruzamos estes números com um estudo de 2020 da Kaspersky, onde indica que cerca de 40% das PMEs, no Brasil, ainda não adotavam políticas de cibersegurança; os dados mostram um ponto de atenção: só em 2023, a mesma firma, Kaspersky, bloqueou 192 milhões de ataques contra estas empresas no país. E para 2025, o panorama segue equivalente. Sem a implementação de práticas relevantes, PMEs se tornam alvos fáceis para criminosos, majoram riscos de privacidade e enfrentam ameaças que podem comprometer sua sobrevivência.

A situação é ainda mais grave quando se observa que 94% das PMEs já sofreram ao menos um ataque cibernético, enquanto 43% de todos os ataques visam diretamente empresas menores, segundo estudo recente da Accenture. Esse panorama coloca essas organizações no centro das estratégias de criminosos digitais.

Por que as PMEs são mais vulneráveis?

Recursos e especialização limitados

Orçamento é uma limitação que Pequenas e Médias Empresas frequentemente enfrentam. Carecem de verbas e equipes especializadas para implementar uma defesa adequada ao seu porte, risco e capacidade. Uma pesquisa da SecureWorld aponta que 47% das empresas com menos de 50 funcionários não destinam nenhum orçamento à cibersegurança. Além disso, a escassez de profissionais qualificados impede que medidas eficazes sejam implementadas.

Custos altos e impactos devastadores

O custo médio de uma violação de dados no Brasil, estimado em R$ 6,75 milhões, é insustentável para PMEs. Muitas ainda são forçadas a encerrar suas operações após um ataque bem-sucedido.

Medidas de segurança inadequadas

Alexandre Antabi, diretor da Macher Tecnologia, explica que “apostar em soluções gratuitas ou básicas é uma prática comum entre as PMEs, mas insuficiente frente à sofisticação dos ataques. Ferramentas como antivírus genéricos e firewalls básicos não são eficientes para barrar ameaças corporativas como ransomware, malware ou phishing. Por muitas vezes também os processos de backups são ineficientes e as estratégias de recuperação não são testadas, abrindo riscos também na vertente de privacidade e criando dificuldades para recuperar-se em casos de incidentes”.

Premissas equivocadas, erro humano e parceiros terceirizados

Com boa parte dos incidentes de segurança envolvendo falhas humanas, o treinamento deficiente dos colaboradores amplifica os riscos.

Além disso, processos deficientes de avaliação de fornecedores pode expor empresas à contratação de provedores de serviço com práticas de privacidade e proteção de dados frágeis, abrindo brechas para ataques na cadeia de suprimentos. Alexandre Antabi aponta que “outro aspecto importante é que rotineiramente a gestão das PMEs minimiza o risco e a exposição, acreditando que por serem menores, não são alvos de cibercriminosos”. Muito pelo contrário, continua, “justamente pelos controles reduzidos, são alvos preferenciais de atacantes que podem levar um negócio de sucesso à paralisação”.

Dificuldades com conformidade

LGPD e a GDPR exigem adequações que, sem conhecimento relevante e apoio especializado, podem ser desafiadoras para PMEs. A não conformidade expõe empresas a multas e danos reputacionais.

Estratégias para reduzir riscos

Diante desse cenário, Alexandre Antabi e a Macher Tecnologia recomendam ações práticas para proteger as operações e reduzir a exposição a ataques:

1. Parcerias confiáveis
   Escolher fornecedores que atendam a critérios rigorosos de segurança e privacidade. Contratos devem revisados, especialmente sob a LGPD. Provedores de serviço devem manter documentação eficiente, especialmente medidas técnicas e operacionais para garantir a privacidade, segurança dos dados e continuidade de negócios.

2. Apoio de Provedores Gerenciados (MSPs)
   Empresas especializadas podem oferecer suporte contínuo e acessível, monitorando e remediando incidentes com eficiência, enquanto o time das PMEs foca na execução do negócio.

3. Contratação de um DPO (Encarregado pelo Tratamento de Dados Pessoais)
   Um DPO, mesmo em regime parcial, suporta a empresa na gestão de riscos e na implementação de estratégias eficientes de proteção de dados. Trabalhando conjuntamente com outras áreas de negócio e MSPs, potencializam as proteções e o nível de maturidade das organizações frente às ameaças. Alexandre Antabi afirma que “inclusive, com o momento do mercado, iniciativas de compliance podem ser vistas como diferenciais competitivos. Alguns de nossos clientes chegam após serem questionados por suas posturas em privacidade e proteção de dados por empresas maiores, em formulários de qualificação”.

4. Tecnologia de nível empresarial
   Investir em ferramentas de nível corporativo. Há diversas opções disponíveis no mercado, cada vez mais acessíveis, para mapear, gerir e tratar vulnerabilidades. Softwares para gestão de endpoints e autenticação multifator, são pré-requisitos para operação no mundo digitalizado.

5. Backups testados e confiáveis
   Manter backups íntegros e processos testados de recuperação é fundamental para minimizar danos em caso de ataque e facilitar a recuperação do negócio.

6. Mapeamento de dados e processos
   Conhecer os dados e processos internos permite priorizar investimentos e estratégias de mitigação. Além de ser o passo inicial em qualquer projeto de adequação à LGPD. Empresas podem utilizar ferramentas especializadas, como o DPO Helper, ou, realizá-lo de forma manual. 

7. Treinamento contínuo
   Desenvolver uma cultura de privacidade e segurança, capacitando colaboradores para reconhecer e responder a ameaças pode evitar danos maiores.

Alexandre Antabi ainda complementa: “Para muitas PMEs, um único ataque pode colocar anos de trabalho em risco. Investir em privacidade e proteção de dados é uma estratégia de sobrevivência, sendo uma responsabilidade compartilhada por todo o time e liderança”.