6 Minutos de leitura 3 dez 2019
hacker de computador usando laptop e smartphone

Como as empresas mid-market podem combater ciberataques

As empresas mid-market podem não pensar que são alvo de crimes cibernéticos, mas na verdade estão no topo da lista.

De
acordo com o Global Capital Confidence Barometer de outubro de 2019 , o maior medo que as empresas mid-market têm sobre a segurança cibernética são danos à reputação. O segundo da lista é a disrupção operacional.

Isso não é surpresa, dado o mal que os ataques cibernéticos têm causado a muitas grandes marcas em todo o mundo. Como elas, as empresas mid-market — aquelas com faturamento entre US$ 50 milhões e US$ 3 bilhões — devem se preocupar com os danos à reputação que um ataque pode causar.

Elas também têm razão em se preocupar com disrupções operacionais, dado o tamanho dos possíveis impactos financeiros. E as empresas mid-market devem estar muito mais preocupadas do que com todos os diferentes impactos dos ataques cibernéticos, pois são mais vulneráveis em comparação com organizações maiores e geralmente têm defesas insuficientes. A natureza altamente sofisticada e em constante mudança dos crimes cibernéticos torna quase impossível para as empresas mid-market com poucos recursos manter-se diante das ameaças.

Muitos ataques pretendem usar empresas mid-market como cavalos de Troia para ataques a empresas maiores. Visar empresas massivas é relativamente mais difícil, porque essas organizações geralmente têm equipes e sistemas de segurança cibernética dedicados, de modo que uma maneira mais fácil de atacá-las é através de seus fornecedores. Por exemplo, um invasor pode tentar plantar código malicioso no aplicativo do fornecedor, que então encontrará o caminho para a empresa maior por meio de seu relacionamento comercial.

Embora uma violação dessa natureza gere uma publicidade mais negativa para a empresa maior, a empresa de médio porte provavelmente sofrerá danos à reputação e financeiros, pois as empresas que fornece podem cancelar contratos e colocá-los na lista negra. Pode não ser tão público, mas será financeiramente doloroso. No pior cenário, essa disrupcção pode fazer com que a empresa de médio porte saia do mercado.

Outro problema é que defesas cibernéticas insuficientes estão levando algumas empresas a perder vantagem competitiva. O EY Global Capital Confidence Barometer perguntou às empresas mid-market sobre sua maior barreira ao uso de dados como vantagem competitiva: 27% disseram que a exposição a ameaças cibernéticas é a maior barreira, atrás apenas do aumento da regulamentação em 28%. A falta de confiança na sua segurança significa que têm medo de rentabilizar os dados que capturaram através de canais como o perfil do cliente e a publicidade dirigida.

Grande vulnerabilidade

Todas as empresas de médio porte com quem falamos sabem que a segurança cibernética é um problema. Mas o tamanho da ameaça, e o tempo e os recursos necessários para defendê-la, são grandes desafios para elas. Muitas não têm fundos ou capital humano para lidar com as tecnologias em constante mudança envolvidas.

Isso é exacerbado por um déficit de talentos em cibersegurança em toda a indústria, o que leva as empresas mid-market a terem um entendimento menos informado sobre qual segurança e controles precisam. O talento em cibersegurança é muito mais raro em comparação com a implementação, desenvolvimento e manutenção de sistemas.

Consequentemente, não há pessoas suficientes com as habilidades certas para fornecer às empresas conselhos personalizados a preços acessíveis, ou mesmo responder a problemas. Também não há dados disponíveis para ajudar as empresas de médio porte a estabelecer os níveis corretos de controle.

Uma empresa mid-market deve integrar os requisitos de segurança cibernética em toda a organização enquanto projeta seus negócios e continua a inovação

Questões regionais

Algumas variações regionais surgiram no Global Capital Confidence Barometer da EY. Por exemplo, as empresas de mid-market na China estavam mais preocupadas com a ameaça de penalidades regulamentares ligadas à cibersegurança do que as de outros países. Isso não é surpreendente, dada a rigorosa Lei de Segurança da Internet da China, que entrou em vigor em 2017.

Outra questão regional que vemos é que a maior parte do orçamento e do talento disponíveis em cibersegurança está nos EUA. Em outros mercados — incluindo a América do Sul e Central, o Oriente Médio, África e Ásia‑Pacífico  — esses recursos são muito mais limitados. Considerando que a maioria da população mundial vive nessas áreas, isso cria um enorme descompasso.

Além disso, muitas empresas mid-market nos EUA e na Europa usam tecnologia ou suporte terceirizados com base em mercados emergentes, onde há talento ou capacidade limitada em segurança cibernética. De fato, grande parte da inovação tecnológica acessível no mercado agora vem desses países.

Portanto, é relativamente fácil para os invasores se esconderem nessas pequenas empresas de mercados emergentes e aguardarem que uma empresa mid-market adquira seus serviços. Dessa forma, a empresa médio porte pode descobrir subitamente que ela própria foi vítima de um ataque de cavalo de Tróia.

Mais uma vez, as empresas de médio porte com as quais trabalhamos viram isso acontecer e sabem que é um problema. Mas geralmente não sabem como responder, e não têm um plano de segurança adequado para os seus negócios. Na maioria dos casos, o robusto plano cibernético é desenvolvido e implementado após uma violação.

As empresas menores das quais as empresas mid-market compram têm ainda menos chances de ter uma boa segurança cibernética. Como resultado, as empresas mid-market devem verificar antes de comprar qualquer software ou serviço, bem como antes de fazer aquisições de empresas menores.

As empresas de médio porte geralmente são inovadoras, o que significa que confiam nos recursos do contrato, mas nem sempre verificam a qualidade do código que estão integrando. Além disso, alguns assumem que, ao comprar conectividade de rede, serviços de TI e aplicativos em nuvem, a segurança cibernética é instalada. Mas esse não é necessariamente o caso. Esses fornecedores podem fornecer esses serviços, mas as empresas de médio porte devem verificar com antecedência antes de haver integração de sistemas ou dados. De fato, eles não devem presumir que qualquer um de seus parceiros — sejam os principais fornecedores de tecnologia ou não — possua o nível certo de segurança.

Devido a essas vulnerabilidades, não podemos enfatizar o suficiente o tamanho das empresas mid-market para os agressores. Se sua empresa fornece serviços para empresas maiores - por exemplo, atualizando hardware em medidores inteligentes - você pode não pensar que é o principal alvo de crimes cibernéticos. Na verdade, você está no topo da lista. Você deve pensar menos sobre isso do ponto de vista do tamanho ou da indústria e perguntar: "Que risco eu represento para os outros?"

Se a sua empresa presta serviços a empresas maiores, você pode não pensar que é um alvo principal do crime cibernético. Na verdade, você está no topo da lista.

Segurança por projeto

É claro que as empresas mid-market precisam investir mais nessa área, dado o tamanho das ameaças atuais e potenciais. Mas não se trata apenas do tamanho dos gastos — não há necessariamente uma correlação entre o nível de investimento e o sucesso da segurança. As organizações bem preparadas fizeram da segurança parte de tudo o que fazem. Em outras palavras, elas não pensam em termos de orçamento dedicado; em vez disso, projetam segurança em todos os novos produtos, compras e serviços comerciais desde o início como um diferencial competitivo. Isso torna a segurança delas muito mais eficiente e significa que gastarão menos com o tempo.

Elas precisam do conselho certo para fazer isso. As empresas mid-market geralmente carecem dos recursos que as grandes empresas têm para segurança cibernética. Portanto, não aconselhamos que se especializem em segurança cibernética, mas, ao invés disso, construímos relacionamentos com parceiros que podem mostrar como é uma boa segurança cibernética e ajudá-las a implementar controles e avaliá-los regularmente. Na maioria dos casos, você pode terceirizar ou co-contratar muitos desses serviços hoje.

Não tenha medo.

Nosso conselho mais importante sobre segurança cibernética é não ignorar esses problemas ou deixá-los sobrecarregá-lo. Não tenha medo de aprender e fazer perguntas. É muito melhor do que esperar que alguém lhe diga o que fazer porque você violou ou porque uma regulamentação adicional foi imposta a você. Invista no desenvolvimento de software e nos testes de segurança de aplicativos. Realize testes de aplicações adicionais em seus sistemas para identificar suas falhas de segurança. Terceirize (ou faça a co-origem) dos principais serviços de segurança para fornecedores confiáveis, com a habilidade e capacidade de proteger seus negócios.

Nossa experiência com empresas de middle-market é que geralmente são reativas em vez de proativas — não levam a sério a segurança cibernética até serem atacadas. Mas se abordarem esses problemas mais cedo, isso lhes custará muito menos a longo prazo.

Resumo

As empresas middle-market vêem os danos à reputação e as disrupções operacionais como as duas maiores ameaças de ataques cibernéticos. Elas têm razão em estar preocupadas, dado o enorme dano operacional e de reputação que os ataques cibernéticos têm causado a muitas empresas.

As empresas de médio porte são mais vulneráveis a esses ataques do que os seus pares maiores, mas também são geralmente muito menos preparadas.

Ao invés de ignorar as ameaças, as empresas de médio porte devem encontrar um colaborador confiável que possa ajudá-las a definir e integrar controles adequados. Nunca devem ter medo de continuar aprendendo e fazendo perguntas sobre os perigos em constante mudança.