Sete erros críticos de cibersegurança cometidos por pequenas e médias empresas

Estudo revela falhas críticas de cibersegurança em PMEs

Sete lacunas previsíveis e evitáveis, conhecidas como “erros críticos da cibersegurança”, estão comprometendo os esforços de defesa cibernética da maioria das micro, pequenas e médias empresas (PMEs). A sofisticação dos ataques atuais supera as defesas inadequadas que essas empresas possuem, que muitas vezes carecem de recursos financeiros para investir em tecnologias avançadas.

A análise é parte de um estudo recente que investiga as vulnerabilidades enfrentadas por essas organizações no cenário digital atual.

De acordo com especialistas, as empresas que mais sofrem com ataques não estão sendo derrotadas por técnicas sofisticadas, mas sim por falhas que poderiam ser evitadas. As PMEs são fundamentais para a economia, e proteger essas empresas é essencial para a segurança das comunidades que elas servem.

As sete falhas operacionais frequentemente observadas nas PMEs incluem:

1. Ignorar fundamentos: Autenticação fraca, sistemas desatualizados e privilégios administrativos excessivos;
2. Falsa confiança: A crença de que a empresa é pequena demais para ser alvo, superestimando a eficácia dos controles e presumindo resiliência sem testes adequados;
3. Acesso superexposto: Regras excessivamente permissivas e confiança implícita após a autenticação;
4. Postura de segurança reativa: Falta de monitoramento contínuo e busca proativa por ameaças;
5. Decisões de segurança motivadas por custos: Adiar investimentos devido a pressões orçamentárias pode resultar em custos elevados, uma única violação pode custar mais de US$ 4,91 milhões;
6. Dependência de modelos de acesso legados: VPNs que autenticam apenas uma vez e oferecem acesso amplo à rede são pontos de entrada frequentemente explorados;
7. Priorizar tendências ao invés de execução: A aquisição de ferramentas novas sem implementação adequada e a expectativa de que a tecnologia compense falhas de processo criam vulnerabilidades.

Tecnologia e execução

O estudo destaca que a diferença entre estar protegido e vulnerável raramente se resume à tecnologia, mas à execução das práticas de segurança. A maioria dos ataques investiga e explora fundamentos básicos que continuam sendo negligenciados. O uso de tecnologias avançadas não deve ser uma desculpa para não realizar as ações necessárias que já são conhecidas como essenciais para a proteção.

Além disso, no Brasil, ambientes desprotegidos estão sendo alvos de ataques mais precisos. Em 2025, violações que exploraram brechas em aplicações web resultaram em 57,2 milhões de ocorrências, enquanto tentativas de invasão de sistemas VoIP geraram 14,2 milhões de tentativas, principalmente direcionadas a operadoras de telecomunicações e call centers.

A exposição da infraestrutura de Internet das Coisas (IoT) a violações também aumentou. Em 2025, tentativas de intrusão foram identificadas e bloqueadas em 45,6% das empresas analisadas, com dispositivos como DVRs da TBK Vision, câmeras da Hikvision e roteadores TP-Link sendo os mais visados.