*Por Álvaro Luiz Massad Martins
Como já vimos no artigo anterior, a realidade das pequenas e médias empresas é, na maioria dos casos, bastante diferente da das grandes empresas, entretanto estão inseridas no mesmo cenário de grande complexidade, com o cibercrime organizado e bastante capaz para sofisticar e disseminar as ameaças e tipos de ataques cibernéticos, onde muitas vezes essas pequenas e médias empresas, justamente por sua fragilidade, são alvos recorrentes.
E agora, qual caminho as pequenas e médias empresas podem seguir para aumentar a sua segurança cibernética?
Nunca é demais relembrarmos que segurança cibernética depende de três pilares: ferramentas tecnológicas, processos/procedimentos, e educação digital.
Pensando no pilar de educação digital, a primeira opção a ser considerada, sem sombra de dúvida, é trabalhar para aumentar a maturidade dos colaboradores em cibersegurança, pois também sabemos que este normalmente é o pilar mais frágil, como já apontou o Relatório de Riscos Globais elaborado pelo Fórum Econômico Mundial.
Empresas que já partiram nessa jornada em busca do aumento de maturidade, sempre começam com o desenvolvimento de um bom Programa de Conscientização em Cibersegurança, que deve ser pensado de forma particular para cada empresa, pois deve estar alinhado com o nível de tecnologia existente na empresa, com a estratégia da empresa, bem como com a cultura corporativa.
Os funcionários são o primeiro ponto de contato para os ataques cibernéticos, por isso é fundamental que as empresas realizem treinamentos regulares de conscientização em segurança cibernética. Os funcionários devem ser informados sobre os riscos cibernéticos e treinados sobre como reconhecer e evitar ameaças como phishing, malware e engenharia social. Os funcionários devem ser orientados sobre como criar senhas seguras, evitar clicar em links desconhecidos ou suspeitos e evitar o compartilhamento de informações confidenciais. Em futuros artigos trataremos com maior profundidade este tema.
O pilar de processos/procedimentos também deve ser revisto, pois com a crescente aceleração digital presente em vários setores da economia, muito provavelmente a empresa também já está inserida no mundo digital, porém, nem sempre os seus processos de negócio foram alterados considerando aspectos de segurança cibernética.
Portanto, é muito importante que a empresa considere também rever todos os seus processos de negócio, atualizando procedimentos e implementando medidas de segurança quando for o caso. Muitos são os frameworks conhecidos, que servem de parâmetro para que a empresa faça essa revisão.
O objetivo neste ponto é a criação de uma política de segurança cibernética, que deve definir as responsabilidades de todos os funcionários e estabelecer procedimentos claros para a gestão de dados e informações confidenciais. A política deve ser comunicada a todos os funcionários e deve ser atualizada regularmente para refletir as mudanças nas ameaças de segurança. Ressaltando que tão importante quanto criar uma política de segurança cibernética, é implementar mecanismos para garantir que todos os funcionários entendam suas responsabilidades em relação à proteção de dados da empresa, e cumpram o estabelecido. Também trataremos com maior profundidade este tema em futuros artigos.
O pilar de ferramentas tecnológicas é o mais crítico para as pequenas e médias empresas, seja pelo fato de não conseguirem acesso às tecnologias de ponta com facilidade, como pela dificuldade em conseguir mão de obra especializada, visto que vivemos um crítico “apagão” de profissionais na área.
Para responder a esses enormes desafios, uma alternativa muito interessante é a contratação de segurança da informação como serviço, pois a indústria de cibersegurança também acompanha o mercado de tecnologia da informação em geral, desenvolvendo novos modelos de negócios onde a cibersegurança é ofertada como serviço, o chamado “SOC as-a-service” que tem se mostrado ser uma tendência, justamente pelos benefícios e possibilidades que oferece. Esse modelo de negócio permite que as empresas pequenas e médias, ou com poucos recursos, também usufruam dos benefícios de uma cibersegurança executada por especialistas, e com ferramentas muito próximas do “estado da arte”.
Esse modelo de negócio apresenta os seguintes benefícios:
Escalabilidade – Quando a empresa contrata esse tipo de serviço ela pode com facilidade aumentar ou diminuir a capacidade, para assim fazer frente às sazonalidades do negócio conhecidas ou não; o que não ocorre quando a empresa tem que comprar hardware, software ou mesmo contratar pessoas.
Foco no negócio – ao adotar esse modelo de negócio a empresa transfere ao fornecedor, que é especialista no assunto, parte da responsabilidade pela gestão da sua cibersegurança, e pode com maior liberdade, mais tempo e mais energia focar no seu próprio negócio.
Uso de tecnologia de ponta – a empresa pode usufruir de tecnologias mais modernas de modo mais fácil e econômico, uma vez que o fornecedor é especialista no assunto.
Mão de obra especializada – da mesma forma que o exposto acima, a empresa pode também usufruir de mão de obra mais especializada de modo mais fácil e econômico.
Entretanto precisamos considerar que essa prática além de poder trazer benefícios, apresenta alguns riscos importantes também, os principais são:
Perda do controle gerencial – quando a empresa adota esse modelo de negócio, normalmente visa transferir a responsabilidade sobre o tema para o terceiro e assim ficar livre para focar no seu negócio; entretanto, o outro lado dessa moeda é que a empresa pode chegar até a perder o controle sobre o serviço, ou seja, como não está mais realizando o mesmo a empresa tende a não querer mais medir e prestar atenção em como o serviço é realizado. Em casos extremos, quando a contratação é feita com baixos critérios, na eventualidade de algum problema legal na relação do terceiro com seus colaboradores, a empresa contratante pode até mesmo ser também acionada e responsabilizada.
Problemas de comunicação com os provedores externos – neste modelo de negócio, será necessária a utilização de infraestrutura de telecomunicações, o que dependerá, obviamente, da existência dessa infraestrutura, e dependendo de onde estiver isto pode ficar comprometido. Uma outra dimensão do risco de comunicação diz respeito ao nível de interlocução que a empresa tem com o provedor de cibersegurança, pois quando uma empresa pequena contrata uma empresa grande, quando precisar de suporte, por exemplo, nem sempre conseguirá ter uma comunicação que atenda às suas necessidades.
Custos em serviços adicionais não previstos em contrato – neste modelo de negócio, eventualmente podem aparecer custos adicionais que não foram previstos em contrato, ao contrário do que muitas empresas esperam.
Nível e qualidade real dos serviços versus os SLAs acordados – quando uma empresa adota esse modelo de negócio, faz também o ajuste de níveis de serviços esperados, através de cláusulas contratuais chamadas de “SLA – Service Level Agreement”, ou, “Acordo de Nível de Serviço”, que normalmente estabelecem sanções financeiras em caso de não cumprimento. Entretanto, ter um SLA contratado não significa necessariamente que se terá o nível de serviço esperado, além do que, quem normalmente medirá o nível de entrega é o fornecedor, portanto este é sempre um ponto de atenção desses tipos de contratos.
A oferta atual existente no mercado de tecnologia está evoluindo com velocidade, por ser em teoria um modelo muito interessante, que bem ajustado pode trazer uma série de benefícios para as empresas, entre eles:
Eliminar as despesas de capital antecipado e reduzir os custos operacionais;
Consumir a quantidade certa de tecnologia sem gastos excessivos;
Escalar para cima ou para baixo para atender aos requisitos de negócios;
Assumir novas oportunidades que foram previamente de custo proibitivo;
Permitir que a área de tecnologia da informação da empresa desenvolva novas competências com foco central em negócios.
Na sua opinião esse pode ser um bom caminho para as pequenas e médias empresas melhorarem a sua segurança cibernética?
*Álvaro Luiz Massad Martins é professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Martins é doutor e mestre em Administração de Empresas pela EAESP – Fundação Getulio Vargas- SP, onde também se graduou em Administração de Empresas. Tem mais de 30 anos de experiência no segmento de Tecnologia da Informação, tendo atuado em posições de direção em empresas como: American Express, Xerox do Brasil, Embratel, Diveo, Intelbras, Mandriva e Alcatel-Lucent. Atualmente, é Diretor Executivo da IT by Insight, empresa de consultoria na área de TI, que tem por missão ajudar as empresas na jornada em busca da Aceleração Digital, com especial foco em questões ligadas à cibersegurança; além de atuar como professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Mais informações: https://www.linkedin.com/in/alvaromartins/
Este artigo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Hub Cybertech Brasil.
