Vulnerabilidades das PME a ciberataques são riscos para as grandes organizações

As pequenas e médias empresas têm controlos de cibersegurança menos eficazes que os implementados pelas grandes organizações na União Europeia.

Esta é uma das conclusões do estudo conduzido pela Marsh em colaboração com a Federação das Associações Europeias de Gestão de Risco (FERMA, na sigla em inglês), “Why the cybersecurity gap between SMEs and Large Organizations Matters” que analisa as diferenças do nível de resiliência digital e em matéria de cibersegurança entre empresas de diferentes dimensões tendo em conta 12 categorias de controlo no âmbito de cibersegurança.

Os dados que suportam esta conclusão são a pontuação média de 80% alcançada pelas grandes organizações nas variáveis em análise contra a média de 65% alcançada pelas PME.

Nas categorias, a que diz respeito a mecanismos de autenticação multifator para acessos remotos: 91% das grandes empresas exigem e implementam-nos, mas essa percentagem cai para 75% nas PME.

O relatório da empresa do grupo Marsh McLennan sublinha a necessidade de se realizar testes e exercícios de revisão de planos de resposta a incidentes. Apesar de melhorias na capacidade de resposta a incidentes, apenas 40% das PME a reponderem que o fazem comparando com 61% das grandes organizações.

Além disso, existem diferenças significativas entre setores. Enquanto 85% PME do setor financeiro desenvolvem ações de formação e treino em matéria de segurança digital para os trabalhadores, no setor da indústria transformadora a percentagem cai para 58%.

As consequências de ciberataques a pequenas e médias empresas podem ser maiores do que se espera. As vulnerabilidades cibernéticas das PME podem ser portas abertas para, em caso de sinistros, as grandes organizações serem afetadas, acredita Head of Cyber da Marsh Europe. Por isso, Gamze Konyar afirma que ser “imperativo aumentar a colaboração para reduzir a lacuna na cibersegurança das PME e desenvolver soluções personalizadas no mercado de seguros”.

Além disso, um ciberataque a PME com acesso a infraestruturas críticas da sociedade ou a informações sensíveis podem ser uma ameaça para a segurança nacional. A título de exemplo, uma PME que preste serviços relacionados com os setores da defesa ou energia pode ter acesso a propriedade intelectual valiosa ou ter ligações a órgãos governamentais. Se esta empresa não for ciber-resiliente pode tornar-se atrativas para espionagem ou sabotagem.

“É fundamental que os gestores e os responsáveis pela gestão de risco das PMEs reconheçam os impactos que eventos desta natureza podem ter nas suas organizações e na contínua construção de um ecossistema digital cada vez mais resiliente”, indica Luís Rodrigues Sousa, especialista em riscos cibernéticos da Marsh Portugal.

Neste relatório são analisadas 320 PME, empresas de média e de grande dimensão na UE, definidos por receitas anuais inferiores a 51 milhões de euros, entre 51 milhões de 250 milhões de euros e receitas superiores a 250 milhões de euros, respetivamente. Através dos dados disponibilizados pela ferramenta cyber self-assessment da Marsh, o relatório foca-se no rácio de implementação de 12 categorias de controlos no âmbito da cibersegurança das organizações.