As previsões apontam para que o número, a magnitude e o custo das violações de dados se mantenham numa trajetória ascendente de futuro. Estes ataques são sustentados por várias tendências que continuarão a ser grandes para empresas de todas as dimensões:
Ataques automatizados em grande escala que estão a tornar-se no modus operandi de hackers que utilizam malware sofisticado e botnets para entrar em qualquer organização ou rede vulnerável, em vez de atacar empresas específicas. Se você estiver ligado à Internet, um dia certamente será encontrado. Ninguém é um alvo, mas qualquer um pode ser uma vítima.
Ransomware vai continuar a ser uma ameaça crescente. De acordo com pesquisas da Datto, cerca de 5% de todas as PMEs, em todo o mundo, foram vítimas de ataques de ransomware no último ano. Trinta e cinco por cento dos MSPs (Managed Service Providers) reportaram dados que referem que as pequenas empresas quando vítimas pagam o resgate, contudo 15% das mesmas não recuperam os seus dados.
Crime-as-a-service (CaaS) vai expandir à medida que as organizações criminosas tornarem os seus produtos maliciosos cada vez mais sofisticados. Grupos criminosos estão a fazer incursões em novos mercados e a adaptar as suas atividades globalmente, o que resultará em incidentes de cibersegurança mais persistentes e prejudiciais que nunca. As barreiras à entrada também são muito menores, com armas como ransomware-as-a-service e sites maliciosos (como nulled.to) tornando o crime informático mais acessível a hackers ambiciosos e pouco qualificados.
A Internet das Coisas (IoT) vai acrescentar riscos difíceis de gerir à medida que as organizações adotarem dispositivos IoT, mas na urgência de chegar ao mercado, perderão de vista o facto de que esses dispositivos são desenhados sem grande consideração pela segurança, proporcionando assim amplas oportunidades de ataques. Há que considerar aqui e também os dispositivos móveis portadores de dados importantes.
Computação na Cloud permite às PMEs competir com os “grandes”, já que empresas mais pequenas podem ter acesso aos mesmos recursos de computação poderosos que as grandes empresas, ao mesmo tempo em que renunciam a grandes despesas de TI e custo efetivo de suporte. De acordo com a empresa britânica de consultoria e soluções na cloud, BCSG, cerca de dois terços das PMEs já estão a usar uma média de três aplicações SaaS (Software-as-a-Service) baseadas na cloud. As aplicações típicas de SaaS para PMEs incluem soluções de CRM (Customer Relationship Management), armazenamento de dados, marketing on-line, gestão de contratos e software de supply chain. No entanto, e apesar deste tipo de soluções serem por norma mais seguras que as soluções idênticas on-premise, as empresas ainda precisam garantir que os seus fornecedores de serviços na cloud – principalmente em mercados mais pequenos ou no caso de lojas de aplicações SaaS – cumpram com as melhores práticas de segurança, regulamentações relevantes (tais como o RGPD) e tenham aceitáveis SLAs (Service-Level Agreements). Para o lado das PMEs, a cloud não elimina responsabilidade final pela segurança e privacidade de dados confidenciais, assim como não elimina a necessidade de estarem em conformidade com a regulamentação. As PMEs têm de assegurar uma gestão de identidade e acesso, autenticação em segurança aos serviços da cloud, e uma apropriada configuração, operação e manutenção dos servidores baseados na cloud (no caso de IaaS, ou Infrastructure-as-a-Service).
A cadeia de fornecimento (supply chain) vai continuar a ser um alvo como backdoor em empresas através da exploração de vulnerabilidades de parceiros com os quais partilhem informações valiosas e sensíveis. Lembre-se que você também é uma cadeia de fornecimento para os seus clientes.
A regulamentação adiciona complexidade, e as empresas podem ter a sua atenção e investimentos desviados de outras importantes iniciativas de segurança devido aos recursos adicionais necessários para atender aos requisitos de conformidade.
Para as PMEs, estas tendências – e a falta de orquestração entre todas as tendências – são particularmente más notícias. Tipicamente sem recursos técnicos e financeiros para investir em segurança quando comparadas com as empresas de maior dimensão, as PMEs são um “foco” para hackers (veja a Figura abaixo). Mas não são apenas os hackers que causam estragos: há que não esquecer os erros cometidos, não intencionais, feitos por pessoas internas à empresa que colocam a empresa em risco.
