Está a cometer algum destes 3 erros de segurança?

Muitas empresas orgulham-se de “ter cópias de segurança diárias”.

Mas quando chega o momento de restaurar… descobrem que as cópias estão desatualizadas, corrompidas ou simplesmente vazias.

É como ter um cofre forte… mas vazio.

💣 Exemplo real:

Em 2022, a Universidade de Kyoto, no Japão, perdeu cerca de 77 TB de dados quando um erro no sistema de backup apagou 34 milhões de ficheiros de investigação. Quando tentaram restaurar, perceberam que as cópias estavam inutilizáveis.
Resultado: trabalho de anos, irrecuperável.

📝 O que devia ter acontecido:

• Backups automáticos e encriptados
• Guardados fora do local (cloud ou datacenter externo)
• Testes regulares de restauração (pelo menos trimestrais)

Em Portugal, tenho visto vários casos em PME onde, após um ataque de ransomware, os backups estavam desatualizados meses — e simplesmente não havia forma de voltar a pôr o negócio a funcionar.
Um backup só é seguro se já foi testado com sucesso.

A segunda falha mais comum é a ausência de autenticação multifator (MFA).
Hoje, as palavras-passe são roubadas com facilidade: phishing, malware, reutilização em vários serviços, bases de dados expostas.

💣 Exemplo real:

Em fevereiro de 2024, a Change Healthcare (EUA) sofreu um ataque de ransomware que paralisou sistemas hospitalares e afetou mais de 190 milhões de registos de pacientes.

Investigadores concluíram que os atacantes entraram por um serviço remoto sem MFA ativo.

Uma simples camada extra de segurança teria bloqueado a intrusão.

💣 Exemplo em Portugal:

A Agência para a Modernização Administrativa (AMA) sofreu em 2024 um ataque após um e-mail de phishing que roubou credenciais de colaboradores.
Não foi confirmado publicamente se havia MFA ativo, mas o tipo de ataque mostra como a ausência de MFA permite que um simples clique abra a porta à rede inteira.

📝 O que devia ter acontecido:

• MFA obrigatório em todas as contas Microsoft 365, Google Workspace, VPNs, CRMs e acesso remoto
• Uso de apps de autenticação (mais seguras que SMS)
• MFA obrigatório em contas administrativas e de gestores

MFA é barato, rápido de implementar e bloqueia a esmagadora maioria dos ataques baseados em credenciais roubadas.

A terceira falha é quase invisível… até ser tarde demais.

Sistemas, servidores, routers e aplicações que ficam meses sem atualizações de segurança tornam-se vulneráveis a ataques automatizados que exploram falhas conhecidas.

💣 Exemplo real:

O ataque de ransomware WannaCry, em 2017, espalhou-se pelo mundo explorando uma vulnerabilidade já corrigida meses antes pela Microsoft.
Quem tinha os sistemas atualizados ficou protegido.

Quem não tinha, ficou parado — como aconteceu com o Serviço Nacional de Saúde do Reino Unido, que cancelou milhares de consultas e operações.

💣 Exemplo em Portugal (tendência):

É comum em auditorias a PME encontrar servidores com sistemas operativos sem atualizações há anos, firewalls com firmware obsoleto ou aplicações críticas sem suporte.

Quando um ransomware ataca, estas brechas tornam-se portas abertas.

📝 O que devia ter acontecido:

• Gestão centralizada de atualizações
• Aplicação imediata de patches críticos
• Monitorização de equipamentos para garantir que estão protegidos

Estas três falhas — backups não testados, ausência de MFA e falta de atualizações — são problemas básicos, mas continuam a ser as principais causas de perdas de dados, paragens prolongadas e ataques bem-sucedidos.

A boa notícia? São também os problemas mais fáceis e baratos de resolver, se houver disciplina e planeamento:

• Testar backups regularmente
• Ativar MFA em todas as contas críticas
• Manter sistemas atualizados

🔐 A segurança não é um luxo — é a base para que o negócio possa crescer com confiança.