1. 9.1 Por que o pequeno empresário acha que não é alvo — e está errado
1.1. 9.1.1 “Minha empresa é pequena demais para isso” = erro clássico
1.1.1. A maioria dos ataques não é dirigida — é automatizada.
1.1.2. Bots vasculham a internet por sistemas fracos, redes expostas, painéis sem senha.
1.1.3. Se sua empresa tem:
1.1.3.1. CNPJ,
1.1.3.2. site,
1.1.3.3. redes sociais,
1.1.3.4. dados de clientes,
1.1.3.5. Wi-Fi...
1.1.3.6. ...ela já é um ativo digital explorável.
1.2. 9.1.2 “Nunca aconteceu comigo” = ainda não notou, não que não aconteceu
1.2.1. Pequenas falhas não percebidas são porta de entrada para grandes problemas.
1.2.2. Dados vazados, senhas reutilizadas, sistemas lentos ou “com erro” são sintomas de risco.
1.2.3. A ausência de incidente não é prova de proteção — é sinal de que ainda está funcionando por sorte.
2. 9.2 7 práticas de segurança que todo pequeno negócio precisa adotar — ontem
2.1. 9.2.1 Ter controle de acessos e senhas
2.1.1. Não usar “admin” como senha.
2.1.2. Nunca compartilhar senhas entre setores ou funcionários.
2.1.3. Trocar senhas após demissões.
2.1.4. Usar gerenciadores (Bitwarden, KeePassXC).
2.1.5. Ativar 2FA em todos os serviços críticos (email, financeiro, cloud, painel de site).
2.2. 9.2.2 Atualizar tudo — sempre
2.2.1. Sistema do caixa, WordPress, antivírus, Windows, apps, roteador. Back-end de site desatualizado = invasão certa, questão de tempo. Plugins abandonados ou piratas = código vulnerável + backdoor disfarçado. Update automático ativado = risco mitigado automaticamente.
2.3. 9.2.3 Criar backup automático — e offline
2.3.1. Dados críticos devem ter:
2.3.1.1. 1 cópia local,
2.3.1.2. 1 cópia na nuvem,
2.3.1.3. 1 cópia offline (HD externo ou pen drive isolado).
2.3.2. Backups precisam ser testados. Backup que nunca foi restaurado não é confiável.
2.3.3. Sem backup = um clique errado e o negócio para.
2.4. 9.2.4 Treinar a equipe para não cair em golpe
2.4.1. Um clique em um PDF infectado pode derrubar o financeiro da empresa.
2.4.2. Um código compartilhado por WhatsApp pode sequestrar o Instagram comercial.
2.4.3. O que um funcionário não sabe pode custar meses de faturamento.
2.4.4. Treinamento mínimo:
2.4.4.1. O que é phishing,
2.4.4.2. Como identificar links falsos,
2.4.4.3. Como agir após um incidente.
2.5. 9.2.5 Não depender só de WhatsApp e Instagram como canal oficial
2.5.1. Ter um domínio próprio (seudominio.com.br), com e-mail profissional.
2.5.2. Criar página simples com contato, política de privacidade e formas alternativas de contato.
2.5.3. Plataformas sociais são alugadas — e podem ser suspensas, invadidas ou deletadas.
2.5.4. Quem depende só de app está à mercê do algoritmo e do invasor.
2.6. 9.2.6 Proteger o Wi-Fi e dispositivos da empresa
2.6.1. Trocar senha padrão do roteador.
2.6.2. Criar rede “guest” separada para visitantes ou clientes.
2.6.3. Manter antivírus e firewall ativos.
2.6.4. Nunca deixar cabos, HDs ou pen drives públicos e abertos.
2.6.5. Cada computador precisa de um dono e uma função definida.
2.7. 9.2.7 Ter um plano de resposta a incidentes (mínimo viável)
2.7.1. Se o Instagram cair: o que fazer?
2.7.2. Se o sistema de notas fiscais travar: quem resolve?
2.7.3. Se um cliente alegar vazamento: como responder?
2.7.4. Plano mínimo:
2.7.4.1. Lista de contatos de suporte;
2.7.4.2. Canais alternativos de comunicação;
2.7.4.3. Procedimento de contenção (reset de senhas, desconexão, aviso ao gestor);
2.7.4.4. Um backup limpo.
3. 9.3 O gestor não precisa ser técnico — mas precisa ser responsável
3.1. 9.3.1 Terceirizar não significa se isentar
3.1.1. Ter uma agência de marketing não te protege de um ataque à conta comercial.
3.1.2. Ter um técnico de TI não exime o gestor de tomar decisões informadas.
3.1.3. Responsabilidade civil (LGPD) é da empresa, não do estagiário.
3.2. 9.3.2 Quem cuida do CNPJ precisa cuidar da reputação e dos dados também
3.2.1. Se você cuida da parte financeira, do estoque, da equipe —
3.2.2. → também precisa cuidar do mínimo de segurança digital.
3.2.3. A reputação digital da empresa é um ativo — e um alvo.
3.2.4. Seu cliente precisa confiar na entrega e na proteção.