De grandes corporações a pequenas empresas, o risco de ter senhas vazadas, sistemas invadidos ou dados sequestrados faz parte da rotina de um mundo cada vez mais conectado. Segundo 60% das pequenas e médias empresas (PMEs) fecham as portas em até seis meses após sofrer um ataque cibernético.
“Cibersegurança deixou de ser um tema de TI e virou um assunto de sobrevivência para os negócios”, afirma Everson Probst, sócio de Cibersegurança da Grant Thornton Brasil. Segundo o especialista, o problema não é apenas técnico, mas estrutural e cultural — muitas empresas não têm planos de resposta, treinamentos eficazes ou avaliação de riscos em fornecedores. “A boa notícia é que é possível começar com pouco investimento e muito impacto”, completa.
Segundo a pesquisa Riscos Cibernéticos — A percepção das lideranças brasileiras e práticas adotadas, realizada pela Grant Thornton e pelo Opice Blum Advogados, 79% das empresas brasileiras acreditam estar mais expostas a ataques cibernéticos do que em anos anteriores, e 40% já sofreram algum tipo de incidente. O levantamento também mostra que phishing (69%), vazamento de dados (68%) e ransomware (67%) estão entre as ameaças mais temidas — mas apenas 25% das empresas possuem seguro cibernético. Além disso, 58% não notificam autoridades, mesmo sendo obrigadas pela ANPD em caso de vazamentos significativos.
Para Everson Probst, pequenas e médias empresas são o alvo preferido dos cibercriminosos, justamente por acreditarem que “não são grandes o bastante para serem atacadas”. A seguir, Everson lista cinco ações práticas que ajudam as PMEs a reduzir riscos e ganhar resiliência digital em até 90 dias:
1. Ter um diagnóstico claro e um plano básico de segurança
Antes de comprar ferramentas, é preciso entender os principais riscos do negócio. Mapear ativos, processos e vulnerabilidades permite priorizar o que realmente importa. “O framework do NIST CSF 2.0 é uma boa base para começar. Ele ajuda a sair do improviso e criar políticas mínimas de proteção”, explica Probst.
2. Contratar serviços de monitoramento gerenciado (SOC-as-a-Service)
Ter um time interno 24×7 é caro, mas os serviços gerenciados de detecção e resposta (MDR) são uma alternativa acessível. Por valores entre R$ 7 mil e R$ 15 mil/mês, as PMEs têm acesso a monitoramento constante, alertas e suporte especializado. “É um modelo de assinatura que custa menos que três analistas e oferece resposta imediata”, destaca o especialista.
3. Investir em treinamento contínuo — e simulado
A maioria das empresas treina seus funcionários, mas apenas 21% consideram o programa eficaz. Segundo Probst, é preciso sair do modelo de palestra anual e adotar treinamentos gamificados e simulações de phishing. “Funcionários que participam de simulações trimestrais reduzem em até 70% as chances de cair em golpes”, aponta.
4. Garantir backups válidos e ter um seguro cibernético
A combinação de backups testados e seguros cibernéticos é uma das defesas mais eficientes — e ainda pouco usada. “Menos de 25% das PMEs têm seguro cibernético ativo. Além de cobrir danos, ele exige boas práticas e funciona como um indutor de governança”, explica Probst.
5. Automatizar atualizações e monitorar vulnerabilidades
Ataques não esperam janelas de manutenção. Integrar ferramentas de varredura contínua e automação de patches aumenta em até 90% a taxa de correção nos primeiros meses. “O segredo é automatizar o básico: atualização, autenticação multifator e backup. Isso já coloca a empresa à frente da maioria”, reforça o executivo.
Segundo a Grant Thornton, 40% das PMEs brasileiras já sofreram algum tipo de incidente. Para o especialista, o momento pede ação imediata e pragmatismo: “Executivos experientes não perguntam mais quanto custa investir em segurança, e sim quanto custa não investir. O prejuízo de um ataque é sempre maior que o da prevenção”, conclui.