Pequenas empresas, grandes riscos

O gerenciamento de riscos é fundamental para garantir a segurança e o sucesso de qualquer organização. É claro que existem diferenças significativas na forma como são abordados e implementados em organizações de diferentes tamanhos. Nesse contexto, é necessário entender as particularidades e os desafios específicos enfrentados pelas pequenas organizações.

Diferenças básicas

Embora os princípios fundamentais do gerenciamento de riscos sejam aplicáveis tanto a pequenas quanto a grandes organizações, é importante reconhecer as diferenças inerentes a cada tipo de organização. Algumas das principais diferenças são destacadas abaixo:

 • Complexidade e escopo: as pequenas organizações são caracterizadas por operações mais simples e escopo limitado em comparação com as grandes empresas. Isso significa que o gerenciamento de riscos pode ser menos complexo e envolver menos variáveis. A identificação e a avaliação de riscos em uma organização de pequeno porte tendem a ser mais ágeis e menos exigentes em termos de recursos.

 • Estrutura organizacional: em pequenas organizações, o gerenciamento de riscos geralmente recai diretamente sobre os líderes e proprietários da empresa. Elas geralmente não têm departamentos especializados em gerenciamento de riscos, pois os recursos podem ser limitados. Isso significa que os líderes da organização devem ter um papel ativo na identificação, avaliação e mitigação dos riscos.

 • Recursos financeiros: as pequenas organizações tendem a ter menos recursos financeiros disponíveis para investir no gerenciamento de riscos em comparação com as grandes empresas. Portanto, é importante fazer uso eficiente dos recursos disponíveis e optar por abordagens mais práticas e econômicas. Isso pode incluir treinamento interno em segurança cibernética, implementação de medidas básicas de segurança e adoção de políticas de uso aceitável de tecnologia.

 • Comunicação interna: em organizações de pequeno porte, a comunicação interna tende a ser mais direta e fluida devido à estrutura mais plana e a menos níveis hierárquicos. Isso facilita a transmissão de informações sobre riscos identificados e medidas de mitigação relacionadas. Os líderes e proprietários da organização podem se comunicar de forma mais eficiente com os funcionários e garantir que todos estejam cientes dos riscos e de como lidar com eles.

Ao reconhecer essas diferenças, as organizações podem adaptar suas abordagens de gerenciamento de riscos às suas características específicas, o que lhes permite gerenciar melhor os riscos e promover a segurança de longo prazo.

Impacto profundo

Uma abordagem baseada no impacto oferece uma melhor compreensão do que as pequenas organizações podem fazer. Simplificando, o impacto de uma ameaça cibernética pode ser devastador e, potencialmente, levá-las à falência. Além do problema técnico em si, os custos para remediar os efeitos de um incidente de segurança cibernética podem incluir a contratação de especialistas para investigar e corrigir o problema, restaurar sistemas e infraestrutura e aprimorar as medidas de segurança existentes para evitar futuros ataques. Esses custos podem ser muito altos para uma pequena empresa.

O aumento dos eventos adversos ressalta a necessidade crescente de desenvolver uma "inteligência de risco", definida como a capacidade de interpretar rigorosamente os riscos e as consequências ou oportunidades que eles representam para uma empresa. Isso implica olhar além da complexidade do ambiente, identificando e categorizando sistematicamente os riscos. Nesse sentido, a estratégia de segurança deve ir além da proteção, concentrando-se na redução da probabilidade de impacto material devido a eventos adversos.

Os profissionais de segurança cibernética são desafiados a aprender mais rápido do que os adversários, reduzir a atratividade da empresa, reduzir as vulnerabilidades técnicas e mitigar o impacto. A instabilidade do ambiente atual exige a superação da falsa sensação de segurança proporcionada por padrões e práticas recomendadas, adotando, em vez disso, a segurança guiada pela incerteza, o que exige estar preparado para navegar pela instabilidade e se adaptar a novos cenários. Nos ecossistemas digitais atuais, em que as empresas estabelecem sua proposta de valor e dependem de terceiros confiáveis, é necessário definir um apetite por riscos, o que implica definir os riscos que a empresa está disposta a aceitar, estabelecendo acordos de nível de proteção e uma tolerância específica. Dessa forma, é possível projetar estratégias alinhadas com os objetivos.

Os líderes, por sua vez, precisam definir a estrutura de suas propostas dentro do contexto da operação que reconhece as ameaças específicas do ambiente e do setor. Isso envolve a caracterização dos adversários em potencial em termos de capacidades, métodos e motivações, estabelecendo uma linha de base das ameaças. Em seguida, eles podem validar os recursos atuais e adquirir os necessários para defender a organização e prever possíveis cenários adversos. Isso pode parecer desnecessário para pequenas empresas, mas pode ser um exercício revelador.

Diante desse cenário, os profissionais de segurança cibernética são desafiados a desenvolver ações para operacionalizar a visão estratégica, mas isso exige que haja uma visão, o que às vezes não é tão claro em organizações menores. Isso leva à redução da superfície de ataque, à identificação e à categorização do escopo do impacto, à interpretação frequente dos riscos e à atenuação, absorção e adaptação a ataques bem-sucedidos. A promessa de valor da segurança cibernética não está na ausência total de eventos adversos bem-sucedidos, mas em manter a organização dentro de sua tolerância de risco definida. Para conseguir isso, os principais recursos de segurança cibernética da empresa devem ser fortalecidos, incluindo defesa, detecção, resposta a crises e monitoramento. Se não houver recursos suficientes para investir nesses recursos, podem ser adotadas abordagens mais simples, com base em padrões de práticas recomendadas e recomendações de profissionais experientes de pequenas empresas.

Assim, a segurança cibernética se torna um elemento articulador da proposta de valor, com o objetivo de aumentar a resiliência dos negócios, manter o curso estabelecido pelos líderes e fortalecer a confiança digital com os clientes. Nesse sentido, o desafio do risco se traduz em cinco aspectos principais: tolerar, encerrar, transferir, transformar e tratar. Essas ações proporcionam mobilidade aos recursos da organização e permitem que ela se ajuste ao seu apetite por riscos. É fundamental que a organização responda às perguntas relacionadas aos acordos de nível de proteção, à manutenção dentro do limite de risco definido, à disponibilidade dos recursos necessários, à lacuna em relação ao nível de maturidade desejado e à evolução do estado das ameaças relevantes. Isso, para qualquer tamanho de organização, é um fator inevitável e não é estranho às empresas com ambientes pequenos. Por fim, no caso de um evento adverso de segurança cibernética, é aconselhável ter um plano de gerenciamento de incidentes definido, linhas de comunicação claras e ajuda externa de pessoal especializado para essas situações.

Conclusões

O gerenciamento de riscos é uma prática essencial para organizações de pequeno e grande porte. Embora existam diferenças na forma como são abordados e implementados em cada tipo de organização, os princípios fundamentais ainda se aplicam. É importante que as pequenas organizações reconheçam a importância de um gerenciamento de riscos adequado e adotem abordagens adaptadas aos seus recursos e necessidades específicos. Ao identificar e avaliar os riscos, desenvolver um plano de gerenciamento de riscos e promover uma cultura adequada, as pequenas organizações poderão se proteger de possíveis impactos adversos e aproveitar as oportunidades de forma mais eficaz, garantindo assim sua continuidade e seu sucesso em longo prazo.