De acordo com a Administração para a Pequena Empresa, existem 32.540.953 pequenas empresas nos Estados Unidos, representando 99,9% de todas as empresas. No entanto, muitas não estão suficientemente preparadas para enfrentar o risco de um ataque cibernético. Por exemplo, um estudo de 2019 sobre o custo do crime cibernético realizado pela Accenture revelou que 43% dos ataques cibernéticos são dirigidos contra pequenas empresas, das quais apenas 14% estão preparadas para se defenderem. Para abordar este risco, é cada vez mais comum que as pequenas e médias empresas (PME) obtenham seguros contra riscos cibernéticos. Contudo, cada vez mais, as seguradoras exigem que as empresas compreendam, apliquem e demonstrem melhor os métodos de gestão de riscos cibernéticos como um requisito para a aquisição de seguros contra riscos cibernéticos.
Neste contexto, recomendamos que as PME adotem um marco de cibersegurança composto pelas melhores práticas para se defenderem contra estes ataques. A implementação de um marco poderia ajudar as empresas a reforçar os seus mecanismos de defesa. Infelizmente, é difícil saber por onde começar, por isso muitas empresas ainda não sabem o que fazer e não dão prioridade às medidas de cibersegurança. Consequentemente, é necessário apresentar este marco em termos simples, com orientações práticas e de fácil compreensão. Infelizmente, algumas PME acreditam que não conseguem estabelecer marcos de cibersegurança e, portanto, perderam oportunidades de negócios para as quais precisavam de demonstrar que tinham esses marcos em vigor. Isto perpetua o ciclo de preparação ineficiente para a cibersegurança.
Em resposta à ação 3.1.1 do Relatório do Grupo de Trabalho sobre Programas de Sequestro de dados, que incentiva que as organizações de cibersegurança estabeleçam uma estrutura clara e prática para mitigação, resposta e recuperação de programas de sequestro de dados, o Grupo de Trabalho encarregado de elaborar um plano de defesa contra programas de sequestro de dados formulou um plano de ação que abrange um subconjunto de salvaguardas essenciais de higiene cibernética selecionadas dos controles críticos de segurança do Centro de segurança da Internet (Controles CIS®) v8. Estas salvaguardas constituem uma norma mínima de segurança da informação que todas as empresas devem utilizar para se defenderem contra os ataques mais comuns. O Plano de ação de defesa contra os programas de sequestro de dados (ransomware) é um conjunto de salvaguardas básicas e acionáveis destinadas às PME.
Portanto, este plano utiliza os controles CIS, um conjunto de medidas prescritivas prioritárias desenvolvidas por uma comunidade global de especialistas em cobersegurança. O plano de ação contém 40 salvaguardas recomendadas, que foram cuidadosamente selecionadas não só porque são fáceis de aplicar, mas também devido à sua eficácia na defesa contra-ataques de sequestro de dados (ataques de ransomware). Isso foi verificado em uma análise do Modelo de Defesa Comunitária do CIS v2.0 (CIS CDM v2.0), no qual se observou que a aplicação das salvaguardas contidas neste plano constitui uma boa defesa contra mais de 70%5 das técnicas de ataque dos programas de sequestro de dados. Deve-se notar que este plano de ação não é um guia para implementação, mas sim uma recomendação de medidas defensivas para proteger e responder a ataques de sequestro de dados e outros ataques cibernéticos comuns. No apêndice C deste documento e no folheto correspondente apresentam diversas ferramentas e recursos que podem ser utilizados para facilitar a implementação destas salvaguardas.
