Em 2025, 43% dos ciberataques na França visaram empresas com menos de 50 funcionários (fonte ANSSI). O custo médio de um ataque para uma TPE: 25 000 euros — entre a perda de exploração, a remediação técnica e a perda de dados.
E no entanto, 80% desses ataques poderiam ter sido evitados com medidas básicas. Não é necessário um orçamento de segurança de 50 000 euros. 10 ações simples são suficientes.
Medida 1: senhas fortes e um gerenciador
A senha "Empresa2024!" não é uma boa senha. Será quebrada em 3 segundos por uma ferramenta automatizada.
A ação: instale um gerenciador de senhas para toda a equipe (Bitwarden em versão gratuita, ou 1Password a 4 euros/mês/usuário). Cada senha gerada aleatoriamente, mínimo 16 caracteres, única por serviço.
A senha mestre do gerenciador deve ser uma frase longa que você memoriza: "MeuGatoComeDiminutosSobreAMesa" é infinitamente mais segura que "P@ssw0rd!2024".
Medida 2: autenticação de dois fatores (2FA)
Mesmo com uma boa senha, se um funcionário for enganado por phishing, o atacante tem a senha. O 2FA adiciona uma camada: além da senha, é necessário um código temporário gerado pelo telefone.
A ação: ative o 2FA em todas as contas críticas — email, banco, hospedagem, redes sociais, ferramentas de negócio. Use um aplicativo (Google Authenticator, Authy) em vez de SMS (interceptável).
Medida 3: atualizações automáticas
As falhas de segurança são corrigidas pelos editores nos dias seguintes à sua descoberta. Mas se você não atualizar, a falha permanece aberta. Os ransomwares exploram maciçamente falhas do Windows e navegadores conhecidas há meses.
A ação: ative as atualizações automáticas em todos os computadores (Windows, macOS, navegadores, softwares de negócio). Um reinício por semana é o preço a pagar.
Medida 4: o backup 3-2-1
A regra 3-2-1: 3 cópias de seus dados, em 2 suportes diferentes, sendo 1 fora do site.
A ação concreta:
- Cópia 1: seu disco rígido (os dados em produção)
- Cópia 2: um disco rígido externo ou NAS (backup automático diário)
- Cópia 3: um serviço em nuvem (Backblaze B2 a 6$/mês, ou Synology C2)
Teste a restauração uma vez por trimestre. Um backup que você não sabe restaurar não é um backup.
Medida 5: conscientização contra phishing
90% dos ataques começam com um email de phishing. O elo fraco é o ser humano.
A ação: treine sua equipe para reconhecer emails suspeitos. Os sinais:
- Urgência artificial ("Sua conta será suspensa em 2h")
- Remetente desconhecido ou nome de domínio suspeito
- Links para URLs estranhas (passe o mouse sem clicar)
- Anexos inesperados (.exe, .zip, .js)
- Solicitação de credenciais por email (nenhum serviço legítimo faz isso)
Faça um exercício de phishing simulado uma vez por ano. Plataformas como Gophish (gratuita) permitem enviar phishings falsos para sua equipe para identificar fraquezas.
Medida 6: Wi-Fi seguro
O Wi-Fi do seu escritório é um ponto de entrada. Se a senha é "ola123" ou você usa o protocolo WEP (obsoleto há 15 anos), qualquer pessoa na rua pode acessar sua rede.
A ação: protocolo WPA3 (ou WPA2-AES no mínimo), senha complexa com 20+ caracteres, rede de convidados separada para visitantes.
Medida 7: criptografia de dispositivos móveis
Um computador portátil roubado de um carro, uma bolsa esquecida no trem — isso acontece. Se o disco não for criptografado, o ladrão acessa todos os seus dados.
A ação: ative BitLocker (Windows Pro) ou FileVault (macOS). É gratuito, integrado ao sistema e transparente no uso.
Medida 8: direitos de acesso restritos
Nem todos precisam acessar tudo. O contador não precisa acessar arquivos técnicos, o estagiário não precisa de direitos de administrador.
A ação: aplique o princípio do menor privilégio. Cada usuário acessa apenas os recursos necessários para seu trabalho. E exclua as contas das pessoas que saem da empresa no mesmo dia da saída.
Medida 9: antivírus e firewall
Windows Defender é suficiente para a maioria das TPE. Não há necessidade de comprar um antivírus pago se sua higiene digital é boa. No entanto, verifique que o Defender está ativado e atualizado em todos os computadores.
O firewall do Windows deve permanecer ativado. Não o desative "porque um software não funciona" — encontre a exceção correta em vez de abrir tudo.
Medida 10: plano de resposta a incidentes
No dia em que isso acontecer (e estatisticamente, acontecerá), você deve saber o que fazer. Um plano de resposta em 5 linhas:
- Isolar a máquina infectada (desconectar da rede, não desligar)
- Notificar seu prestador de TI ou ligar para 3218 (cybermalveillance.gouv.fr)
- Não pagar o resgate (não garante recuperação de dados e financia criminosos)
- Restaurar a partir do backup
- Fazer uma denúncia e declarar o incidente à CNIL se dados pessoais estiverem envolvidos
Imprima este plano. Afixe-o. No dia D, ninguém procurará um documento digital em um computador criptografado por um ransomware.
A cibersegurança não é um assunto técnico reservado para informáticos. É um assunto de liderança. 10 medidas simples, aplicadas rigorosamente, bloqueiam a grande maioria dos ataques.