PMEs entram na linha de frente dos ataques digitais e ganham roteiro prático para construir cultura de segurança em 90 dias

As pequenas e médias empresas brasileiras ocupam hoje o centro da maior onda de ataques cibernéticos já registrada. Segundo o Annual Threat Report 2025 da N-able, o número de incidentes saltou de 48,7 mil em junho de 2024 para 13,3 milhões em junho de 2025, avanço de 273 vezes em apenas um ano, com ransomware ou extorsão de dados presentes em 88% das violações. Para os criminosos, as PMEs se tornaram o elo mais vulnerável da cadeia digital: operações críticas, baixa maturidade em segurança e maior propensão a pagar resgates.

“A pressão é enorme: uma PME com 20 funcionários pode ser tão lucrativa quanto um banco se a operação dela parar por alguns dias”, aponta Rodrigo Gazola, CEO da ADDEE, representante exclusiva da N-able no Brasil.

A pressão regulatória amplia o risco. Nos EUA, incidentes materiais precisam ser reportados à SEC em até quatro dias úteis; na Europa, a Diretiva NIS2 responsabiliza diretamente gestores que não implementarem medidas mínimas. Com custo médio global de violação acima de US$ 4,45 milhões em 2025, o impacto para um mercado em que 96% das empresas são PMEs é potencialmente devastador. Mais de 80% desses ataques, porém, poderiam ser neutralizados com práticas básicas como autenticação multifator (MFA), backups testados e gestão de vulnerabilidades. “O básico ainda não está resolvido e é aí que o problema deixa de ser ‘se’ e passa a ser ‘quando’”, reforça Gazola.

É nesse contexto que a Strati lança o Manual de Cultura de Segurança para Médias Empresas, um guia prático para implementar, em 90 dias, uma rotina de proteção que cabe no orçamento e reduz riscos operacionais, financeiros e reputacionais. O documento nasce da constatação de que receitas tradicionais de segurança são caras e pouco adaptadas à realidade das PMEs. “Segurança não é luxo, é disciplina de gestão que protege receita e continuidade. É rotina que se mantém mesmo quando ninguém está olhando”, explica André Bernardo, sócio-diretor da Strati.

O plano proposto se estrutura em seis sprints quinzenais com entregas objetivas: diagnóstico inicial, engajamento da liderança, política mínima publicada, microaulas, simulações de phishing e criação de champions internos. A ênfase recai sobre o fator humano, presente em 68% das violações segundo o Verizon DBIR 2024.

Além das práticas técnicas, como MFA obrigatório, gestão de credenciais e backup imutável, o manual fornece estratégias para convencer diretorias com métricas e impactos financeiros plausíveis. O conteúdo também aborda governança, LGPD e responsabilidade social. “Cada decisão de segurança é também uma decisão sobre como a empresa cuida de quem confia nela — clientes, fornecedores e famílias”, reforça Bernardo.

A ADDEE apoia o projeto oferecendo soluções que viabilizam etapas críticas do roteiro, como proteção de endpoints, backup em nuvem e gestão de credenciais. “Nosso objetivo é garantir confiabilidade. O manual traduz isso em ações práticas: não basta ter tecnologia, é preciso criar processos que funcionem no dia a dia e sustentem a operação mesmo sob pressão”, afirma Gazola.

O manual traz ainda um checklist prático para os primeiros 15 dias: mapear identidades, dispositivos e serviços críticos; ativar MFA para e-mail e aplicativos corporativos; criar canal oficial para reporte de incidentes; e publicar um manifesto assinado pelo CEO com três regras básicas — reportar suspeitas, usar MFA e não compartilhar credenciais. Em um cenário de ataques mais numerosos, baratos e impulsionados por IA, o desafio das PMEs é acelerar a maturidade digital antes que a próxima tentativa de invasão aconteça.