A cibersegurança tem vindo a ganhar relevância estratégica nas pequenas e médias empresas (PME) em Portugal, mas a maturidade digital do tecido empresarial continua abaixo da média global, deixando organizações mais expostas a ataques e interrupções operacionais.
De acordo com um estudo encomendado pela Sage e realizado pela IDC, intitulado “SMBs in the Age of AI: Navigating cyber complexity and building resilience”, apenas 43% das empresas portuguesas não registaram qualquer incidente de cibersegurança no último ano, abaixo dos 54% verificados a nível global. O inquérito abrangeu 2.210 PME, incluindo uma amostra de 100 empresas em Portugal.
O impacto do cibercrime é mais severo em Portugal do que no resto do mundo. Enquanto a nível global mais de metade das empresas (54%) não registou qualquer incidente no último ano, em Portugal esse número desce para os 43%.
Consequentemente, as empresas portuguesas sofrem mais perturbações: 39% enfrentaram incidentes menores (mas resolvidos rapidamente) e 16% registaram incidentes que causaram disrupções significativas no negócio (contra apenas 11% da média global).
Maturidade de gestão ainda limitada
O estudo aponta para um défice estrutural na forma como as empresas portuguesas gerem a cibersegurança. Apenas 24% das PME adotam uma abordagem proativa, abaixo dos 30% registados globalmente. O modelo mais comum em Portugal é o “estruturado” (34%), em linha com a média internacional, mas persistem níveis elevados de maturidade reduzida: 23% das empresas têm uma abordagem informal e 10% dependem de respostas reativas a crises.
Também ao nível das medidas de proteção essenciais, Portugal apresenta desvantagem face ao contexto global. A segurança de e-mail está implementada em 65% das empresas nacionais (79% global), enquanto práticas como backups e patching atingem 65% (71% global). Já a proteção de endpoints situa-se nos 61%, abaixo dos 67% registados internacionalmente.
IA agrava desafios de segurança
A adoção da IA está a intensificar a pressão de cibersegurança sobre as PME portuguesas, com os níveis de preparação a revelarem-se ainda insuficientes face aos riscos emergentes.
O estudo revela que apenas 1% das PME portuguesas considera ter um nível “maduro” de segurança em aplicações de IA, contra 6% a nível global. O nível mais comum é o “básico”, com 33% das empresas, enquanto 19% admite não ter qualquer mecanismo de proteção implementado nesta área.
Entre os principais desafios identificados destacam-se a falta de competências internas em segurança de IA (44%), a dificuldade em assegurar proteção de dados (40%) e a reduzida visibilidade sobre a utilização de ferramentas de IA dentro das organizações (34%).
Apesar disso, as empresas começam a alinhar respostas com práticas internacionais, destacando-se a criação de políticas de utilização de IA (43%), a adoção de ferramentas aprovadas com controlos administrativos (34%) e a realização de testes antes da implementação (33%).
Especialistas alertam para urgência na resposta
Para o chief information security officer da Sage, Gustavo Zeidan, muitas PME “estão entusiasmadas com o potencial da IA”, mas necessitam de soluções simples e práticas para garantir uma adoção segura. “Ao facilitarmos a implementação da cibersegurança através de produtos secure-by-design, orientações mais claras e colaboração entre a indústria e governos, podemos ajudar as PME a construir resiliência, a inovar com segurança e a crescer ao seu próprio ritmo”.
Já o senior research director da IDC na área da segurança europeia, Joel Stradling, sublinha que muitas PME continuam a subestimar o risco, apesar da crescente sofisticação das ameaças. “A IDC recomenda que as PME integrem a cibersegurança nas iniciativas de IA desde o início e adotem uma abordagem transversal a toda a organização para a ciber-resiliência. As empresas que fecharem o fosso entre as ambições de crescimento e a preparação tecnológica estarão na melhor posição para construir uma confiança digital de longo prazo com clientes, parceiros e investidores”.
