O maior risco das PMEs não é o ataque, é a falsa sensação de segurança

Gosto muito de dar aulas, não só pela oportunidade de passar conhecimentos e experiências de vida para profissionais que constroem suas carreiras em segurança da informação e gestão de riscos, mas também pelo que aprendo com eles.

Dúvidas e questionamentos sobre situações reais que vivenciam nas empresas, além de problemas complexos do dia a dia, são oportunidades riquíssimas para aprofundar cenários e discutir alternativas práticas de aplicação do que é ensinado.

Entre essas situações práticas vivenciadas pelos alunos, e que também já tive a oportunidade de constatar diversas vezes nas minhas atividades fora da sala de aula, está a ausência de uma cultura mais consolidada de segurança da informação entre muitas das empresas de pequeno e médio porte.

Não me iludo quanto a isso. Há toda uma série de fatores, inclusive limitações de recursos financeiros, que moldam as diferenças entre decisões estratégicas tomadas por PMEs e por grandes empresas, mesmo dentro do mesmo setor de negócios.

Quando a decisão de não direcionar recursos para a segurança é fundamentada em uma análise criteriosa das necessidades regulatórias, dos impactos de eventuais incidentes sobre a sustentabilidade da empresa e é consistente com a estratégia de negócios, há pouco a debater. Trata-se de um risco consciente.

O problema, e é isso que destaco nas orientações que dou, ocorre quando a decisão não é fundamentada e é tomada com base em pressuposições inconscientes e inconsistentes.

A mais comum é aquela que trata a segurança e a gestão de riscos como práticas caras, incompatíveis com pequenos orçamentos.

Essa é uma premissa falsa e é semelhante a achar que manter uma rotina saudável de exercícios físicos exige muito tempo livre e é incompatível com quem não é atleta.

Outra premissa ainda mais equivocada é aquela baseada na suposição de que o negócio é tão pequeno que não corre riscos de segurança.

Como analogia, é como achar que se pode rodar com os pneus carecas ou com as pastilhas de freio gastas porque nunca se pega estrada com o carro.

Segurança não é cara; é proporcional ao risco. Uma exposição menor ao risco implica custos menores de defesa. Conscientizar 10 funcionários exige menos investimento do que conscientizar 1.000. Manter 10 estações de trabalho seguras é muito mais simples do que manter 1.000.

Proteger uma rede local com meia dúzia de equipamentos é bem mais simples do que proteger uma rede distribuída pelo país, com milhares de estações.

Mas é aí que está o principal erro conceitual. O impacto, para uma pequena empresa, em termos qualitativos, de ter seus ativos de informação afetados por um incidente e perder dias de operação, é tão grande quanto para uma grande empresa. Ambas terão seus produtos e serviços degradados ou interrompidos, sofrerão perdas financeiras proporcionais às suas receitas e terão seus clientes afetados.

Ou seja, a pequena e média empresa tem menor exposição aos riscos do que uma grande empresa, com custo de proteção consequentemente menor. Porém, se um desses riscos se materializar, ela sofrerá tanto quanto uma grande empresa.

Casos de ransomware em pequenas e médias empresas ilustram bem esse ponto. Não são ataques extremamente sofisticados, mas exploram falhas básicas, como falta de backup adequado, ausência de atualização de sistemas ou baixa conscientização dos usuários. O impacto, no entanto, é severo: interrupção total das operações, perda de receita e, em muitos casos, incapacidade de recuperação do negócio.

Esclarecida essa questão, de que a decisão de não investir em segurança não deve ser tomada sem uma análise apropriada da exposição aos riscos, surge a questão de como fazer isso.

Retomando o ponto de que a segurança deve ser apropriada ao contexto em que se aplica, e considerando que o ambiente de TI de uma pequena e média empresa é naturalmente mais simples do que o de uma grande empresa, com menos ameaças e menos pontos vulneráveis, decorre disso que frameworks de segurança mais direcionados a ações rápidas e simples são mais apropriados a esse cenário.

Em pequenas e médias empresas, o CIS Controls v8.1 se encaixa como uma luva. Ele prescreve conjuntos de medidas de segurança, chamados de controles, que constituem o mínimo aceitável, ou baseline, para qualquer organização que se conecte à internet, divididos em três cenários complementares, do menor ao maior nível de risco.

Agora, o ponto principal é como conduzir essa questão em PMEs.

O que sempre digo aos meus alunos é que nenhuma empresa pode se dar ao luxo de ter prejuízos que comprometam sua sobrevivência financeira ou de perder seus clientes.

O passo inicial é levar à direção da empresa, ao dono ou aos investidores, a orientação de que a ausência de medidas de segurança pode representar exatamente isso.

Apresentado o problema e compreendida sua importância para o negócio, o próximo passo é realizar um diagnóstico inicial, voltado a determinar quais são os principais riscos e qual o baseline do CIS Controls v8.1 que melhor se encaixa no contexto.

Estabelecido o baseline, é necessário organizar um plano de ações que viabilize a implementação das medidas, priorizadas de acordo com os riscos identificados no diagnóstico inicial e aplicadas na medida exata para tratá-los.

Nos quadros de colaboradores de PMEs, que, por definição, são empresas com menor número de funcionários, normalmente não há especialistas em segurança da informação ou gestão de riscos cibernéticos. No entanto, isso não é um empecilho.

A elaboração de avaliações de risco e de planos de adequação a frameworks de segurança, como o CIS Controls v8.1, são serviços normalmente prestados por consultorias de segurança da informação e facilmente acessíveis às PMEs. Eu mesmo costumo executar essas atividades para meus clientes.

Assim, concluindo, é melhor recauchutar os pneus e trocar as pastilhas de freio antes que um acidente ocorra. Não pegar a estrada não garante que você não precisará deles em outras circunstâncias.