Os três mitos que dão falsa segurança aos gestores

Ao longo dos anos, e mais uma vez no webinar da Câmara de Comércio e Indústria Portuguesa, percebi que os ataques mais bem-sucedidos não começam numa falha técnica. Começam numa frase — uma daquelas que os gestores repetem com confiança, e que lhes dá uma falsa sensação de segurança. Aqui estão as três mais perigosas.

Mito 1: "Estamos protegidos"

É a frase mais perigosa de todas, porque fecha a conversa. A segurança digital não é um estado que se atinge e fica garantido — é um processo. O que era suficiente ontem, hoje já não chega: os atacantes evoluem, surgem novas vulnerabilidades, as ferramentas mudam. "Estamos protegidos" devia ser sempre "estávamos protegidos à data da última verificação". A pergunta certa não é se está protegido, mas quando foi a última vez que verificou.

Mito 2: "Temos backups"

Ter backups é como ter um extintor que nunca testou: sente-se seguro até ao dia em que precisa dele. Dois problemas comuns afundam esta falsa confiança. Primeiro: muitas empresas nunca testaram a reposição — têm as cópias, mas não sabem se conseguem voltar a pôr o negócio a funcionar a partir delas. Segundo: se os backups estão ligados à mesma rede, o ransomware moderno encripta-os também. Um backup que não foi testado, e que está ao alcance do vírus, não é uma rede de segurança — é uma ilusão.

Mito 3: "Somos pequenos demais para ser um alvo"

É talvez o mito mais difundido entre as PME, e o mais errado. Os cibercriminosos atacam cada vez mais as pequenas e médias empresas precisamente porque têm menos defesas. Não é uma questão de tamanho — é de facilidade. Atacar mil empresas pequenas e mal protegidas é mais lucrativo, e mais fácil, do que atacar uma grande corporação com uma equipa de segurança dedicada. E há um detalhe que assusta: um ataque de ransomware pode demorar cerca de um ano a preparar-se silenciosamente dentro do sistema antes de se manifestar. Quando "acontece", já lá estava há muito tempo.

O fio comum: a IA mudou o jogo

Estes mitos eram perigosos antes. Com a inteligência artificial, tornaram-se ainda mais. A IA democratizou os ataques: hoje, alguém sem conhecimentos técnicos avançados consegue gerar código malicioso. E os emails de phishing deixaram de ter os erros de português que os denunciavam — agora chegam em português perfeito, personalizados, difíceis de distinguir de um email legítimo. O "elo mais fraco" (o erro humano) está sob mais pressão do que nunca.

O que fazer com isto

O antídoto para os três mitos é o mesmo: trocar a confiança pela verificação. Em vez de "estamos protegidos", verificar regularmente. Em vez de "temos backups", testar a reposição e isolá-los da rede. Em vez de "somos pequenos demais", assumir que se é alvo e agir em conformidade. A humildade de questionar as próprias certezas é, em cibersegurança, a postura mais segura que existe.