Em 2013 a rede americana de varejo Target foi atacada por um grupo organizado de “cybercriminosos” e teve roubada a identidade e dados de cartão de crédito de mais de 100 milhões de clientes. Além de manchar a imagem da empresa, o ataque resultou também em perdas financeiras de dezenas de milhões de dólares.
Mas a Target não é uma grande corporação e, sendo assim, não deveria ter tecnologia e controles para protege-la de um desastre como esse? Sim, a Target acreditava que tinha tudo sob controle, mas desconsiderou alguns riscos. O ataque – mais tarde se comprovou – foi feito por meio da rede de um fornecedor que prestava serviços de manutenção nos sistemas de ar condicionado das lojas.
Esse fato leva a duas conclusões: A primeira é que uma grande corporação precisa também se preocupar com a cadeia de suprimentos e de clientes que a sustenta. O elo mais fraco pode estar numa pequena empresa com a qual são mantidos negócios e que por isso faz parte do seu ambiente digital corporativo.
A segunda conclusão é a de que empresas menores, que podem ter a impressão de que não são alvos de cybercrimes, devem começar a se autoavaliar como parte de um todo maior, se querem ter como clientes grandes empresas. Devem, principalmente, pensar que podem servir de ponte para que um ataque chegue a um cliente.
As grandes empresas estão percebendo cada vez mais esse risco e já começam a fazer exigências de cybersegurança para as companhias menores que são fornecedoras de serviços.
Mas sendo uma empresa de pequeno ou mesmo médio porte, como saber o que deve ser feito? Por onde começar? A primeira imagem que surge é a da necessidade da aquisição de ferramentas e equipamentos caros, firewalls com tecnologia de ponta, plataformas para detectar invasões e outros itens nessa linha.
Sem dúvida, ferramentas representam um item importante e não vão faltar fabricantes explicando que não é possível sobreviver sem determinada tecnologia. Muitas vezes eles estão certos, mas antes de pensar em tecnologia e produtos é preciso pensar em processos e controles.
A melhor relação custo-benefício será obtida pelas pequenas e médias empresas que inicialmente pensarem a segurança da informação de forma sistêmica. Uma avaliação inicial de controles baseada num quadro que contemple o conjunto das melhores práticas, permitirá que se entenda por onde começar e quais controles fazem mais sentido para o momento vivido pelo negócio.
O resultado vem na forma da implantação de políticas, processos e rotinas de controle. Esses elementos, que muitas vezes não exigem investimentos, fazem toda a diferença no aumento do nível de segurança do ambiente.
Em resumo, é fato que para algumas áreas o desenvolvimento de um controle pode exigir a aquisição de uma plataforma ou a contratação de um serviço, mas esse raramente é o primeiro passo. O mais certo a ser feito, antes de qualquer investimento, é uma avaliação do quadro completo de necessidades para verificar se o nível de Cybersegurança pode evoluir, desenvolvendo os recursos que já existem.
Deseja saber se a sua empresa está segura? Faça o teste gratuito e descubra o nível de cybersegurança da sua empresa.
