As pequenas e médias empresas (PMEs) estão cada vez mais na mira dos cibercriminosos. No entanto, muitas continuam perigosamente despreparadas.
Orçamentos limitados, recursos de TI sobrecarregados e conceitos errôneos sobre ameaças e cobertura de seguros estão mantendo as PMEs presas no que os especialistas chamam de “ciclo de pobreza da segurança cibernética”.
Mea Clift, consultora sênior em engenharia de risco cibernético da Liberty Mutual, disse que os agentes e corretores de seguros têm uma oportunidade única de ajudar essas organizações a quebrar o ciclo.
“As organizações menores muitas vezes não têm a infraestrutura de segurança das grandes empresas”, disse Clift. “Elas podem não ter controles de acesso privilegiados, segmentação de rede ou monitoramento 24 horas por dia. E quando você adiciona uma forte dependência de terceiros, cria mais pontos de entrada para os agentes de ameaças.
“Existem muitos mitos (sobre o seguro cibernético) por aí. As pessoas ouvem falar de sinistros negados no noticiário e assumem o pior. Os corretores podem desempenhar um papel fundamental ao explicar a realidade, definir expectativas e ajudar os clientes a se posicionarem para o sucesso com sua seguradora.”
O efeito dominó da vulnerabilidade cibernética das PMEs
De acordo com Clift, a maioria dos ataques direcionados a organizações menores ainda está enraizada no comprometimento de e-mails comerciais (BEC) e phishing. No entanto, os métodos de entrega estão evoluindo, com phishing baseado em texto, engenharia social direcionada a executivos e compromissos em várias etapas que se transformam em ransomware se tornando mais comuns.
O risco de terceiros também é um problema crescente. “Todo mundo está passando a usar muitos terceiros porque não tem capacidade interna”, disse Clift. “Com isso, vemos mais incidentes envolvendo terceiros, em que um fornecedor é comprometido e retira os dados ou sistemas de seus usuários e clientes.”
E, apesar de seu tamanho menor, os eventos cibernéticos que afetam as PMEs podem ter consequências enormes. Clift destacou que um pequeno fornecedor pode ser o eixo central das operações de outra empresa. Por exemplo, uma violação em uma empresa com receita de US$ 5 milhões pode causar perdas de bilhões a jusante se interromper a cadeia de suprimentos de um cliente importante.
Clift está observando de perto duas áreas de risco cibernético emergente para PMEs: compromissos da cadeia de suprimentos, que não se limitam a vulnerabilidades de software, mas também violações de provedores de serviços com acesso direto ao sistema; e abuso de IA, incluindo entradas de dados contaminados, modelos de linguagem grandes manipulados e geração de desinformação.
“A IA tem possibilidades infinitas, o que significa potencial infinito para uso indevido”, disse Clift.
Dicas para ajudar clientes a acabar com ciclo de pobreza da segurança cibernética
Um dos equívocos mais prejudiciais entre os proprietários de pequenas empresas é a crença de que são muito pequenos para serem alvo de ataques. Essa percepção muitas vezes leva a um investimento mínimo em defesas cibernéticas.
“Há também uma dependência excessiva de provedores de serviços gerenciados (MSPs)”, disse Clift. “Os proprietários presumem que tudo está coberto, mas o nível de proteção depende do que eles contrataram. Se o seu MSP só oferece cobertura das 9h às 17h e você for atacado na sexta-feira à noite, poderá ficar por conta própria até segunda-feira.”
Mesmo quando as PMEs reconhecem o risco, elas podem se ver incapazes de pagar por ferramentas e talentos avançados, o que aumenta a vulnerabilidade, o que, por sua vez, as torna menos atraentes para as seguradoras ou aumenta os prêmios.
Para ajudar as PMEs a romper o ciclo de subinvestimento, Clift aconselha os agentes e corretores a se concentrarem em medidas viáveis e de alto impacto:
- Maximizar as ferramentas existentes: Muitas plataformas em nuvem oferecem recursos avançados de segurança sem custo adicional. “Trabalhe com os provedores para garantir que tudo esteja protegido”, disse Clift.
- Colaborar com MSPs: Acompanhe as mudanças ambientais e confirme a cobertura 24 horas por dia, 7 dias por semana, quando necessário.
- Priorizar controles básicos: MFA, backups, proteção de endpoint e treinamento de conscientização sobre phishing podem reduzir significativamente a probabilidade de incidentes.
Ao combinar essas medidas práticas com soluções de seguro personalizadas, os corretores podem posicionar as PMEs para enfrentar incidentes cibernéticos sem perdas catastróficas.
“A segurança cibernética é uma jornada, não um destino”, disse ela. “Temos que entender que uma empresa de 50 pessoas não terá os mesmos controles que uma organização de 50.000 pessoas.”
