Para a maioria das pequenas e médias empresas (SMBs), o “escritório” é agora uma coleção de redes Wi-Fi domésticas, hotspots de cafés, espaços de trabalho partilhados e ferramentas SaaS baseadas na nuvem.

No entanto, mesmo à medida que o trabalho continua a tornar-se mais distribuído, muitas empresas não implementaram controlos de rede. Menos de metade das SMBs usam uma VPN para proteger o acesso à sua rede, segundo uma nova investigação da Proton.

Ao mesmo tempo, os incidentes de segurança estão a aumentar. Uma em cada quatro SMBs sofreu um ciberataque ou incidente no último ano.

Então, porque é que, apesar de uma mudança aparentemente permanente para o trabalho híbrido, a adoção de VPN é tão inconsistente? E será essa a causa de tantos incidentes de segurança recentes?

O nosso Relatório de Cibersegurança SMB 2026 lança luz sobre esta questão. Para a nossa investigação exclusiva, inquirimos milhares de líderes empresariais em todo o mundo com dezenas de perguntas sobre as suas práticas de segurança. Pode transferir o relatório gratuito de cibersegurança para obter quatro informações-chave e cinco recomendações para a sua empresa.

Transferir o relatório gratuito(nova janela)

Porque é que os atacantes estão a visar SMBs

Durante anos, os cibercriminosos concentraram-se principalmente nas grandes empresas. Mas, à medida que as defesas empresariais melhoraram, os atacantes têm visado cada vez mais as SMBs(nova janela) devido a:

Recursos limitados: as equipas pequenas muitas vezes não dispõem de pessoal de segurança dedicado nem de políticas formais de segurança.

Redes distribuídas: os colaboradores ligam-se a partir de redes Wi-Fi domésticas, espaços de trabalho partilhados e hotspots públicos, criando mais pontos de entrada para os atacantes.

Dados de elevado valor: as SMBs podem armazenar os mesmos dados sensíveis que grandes empresas(nova janela) — incluindo informações de clientes, registos financeiros e propriedade intelectual — mas com menos proteções implementadas.

A lacuna de adoção: as SMBs estão a negligenciar as VPNs

O Relatório de Cibersegurança SMB 2026 da Proton expôs duas lacunas entre pequenas e médias empresas:

  • Lacuna de adoção: menos de metade das SMBs usam uma VPN para proteger os seus pontos finais(nova janela).
  • Lacuna de execução: mesmo entre as SMBs que adotam VPN, as práticas de segurança são inconsistentes.

Comecemos pela lacuna de adoção.

O aumento do software como serviço criou uma falsa sensação de segurança entre as pequenas empresas. Embora a maioria das plataformas SaaS use encriptação forte (ou seja, TLS(nova janela)) para proteger o tráfego em trânsito, e algumas como o Proton Mail ou o Proton Drive também usem encriptação ponto a ponto(nova janela) em repouso, não protegem o caminho que os seus colaboradores percorrem para iniciar sessão.

Por exemplo, a sua organização pode usar um serviço de e-mail encriptado(nova janela) para proteger o conteúdo das suas mensagens, mas sem uma VPN não pode impor restrições baseadas em IP para controlar quem pode iniciar sessão na plataforma. Assim, um atacante com um conjunto de credenciais obtidas numa fuga pode iniciar sessão e comprometer a sua rede.

Embora a mudança para o trabalho híbrido seja global, as adaptações de segurança que a acompanham têm sido desiguais. Os Estados Unidos são o único país no nosso estudo em que a maioria das SMBs usa uma VPN. Em todos os outros mercados, a adoção fica abaixo dos 50 %. Esta lacuna é ainda mais pronunciada fora do setor tecnológico, onde a segurança não acompanhou a mudança para o trabalho híbrido.

A lacuna de execução: a verdadeira segurança vai além de uma VPN

Cinquenta e dois por cento das SMBs que usam VPN dizem estar muito ou completamente confiantes na sua capacidade de resistir a ataques. Mas os nossos dados mostram que, mesmo entre este grupo, 26 % sofreram um incidente nos últimos 12 meses. Se uma empresa já está a proteger a sua rede, como é que isto continua a acontecer?

O problema não é a VPN em si, mas os controlos em redor e a prevalência do erro humano. Apenas 56 % dos adotantes de VPN no nosso estudo impõem autenticação de dois fatores(nova janela) (2FA). Quando quase metade das empresas depende apenas de palavras-passe, o risco é agravado por uma disciplina deficiente em matéria de credenciais. Em vez de usarem de forma consistente um gestor de palavras-passe empresarial(nova janela):

  • 31,5 % ainda partilham credenciais por e-mail
  • 33,4 % através de documentos partilhados
  • 28 % dependem de aplicações de mensagens para partilhar inícios de sessão
  • 24,6 % ainda anotam palavras-passe

Os nossos dados sugerem que muitas empresas estão a tratar a segurança como um investimento fragmentado em produtos isolados, em vez de um sistema coeso, sem políticas de segurança executadas de forma consistente.

Segurança como infraestrutura, não como reflexão posterior

O estudo revelou outra perspetiva valiosa: a segurança é um motor de receitas.

No nosso relatório, 66 % das empresas dizem que demonstrar um tratamento seguro de dados é “muito” ou “criticamente” importante para conquistar novos negócios. Uma VPN para segurança de pontos finais dá-lhe a infraestrutura e a visibilidade para apresentar esse argumento a potenciais clientes.

Sem um perímetro de rede definido, os pontos de entrada multiplicam-se, a visibilidade diminui e o controlo de acesso fica disperso por plataformas de terceiros. Tudo isto expande a superfície de ataque e torna mais difícil detetar comportamentos suspeitos, conter incidentes ou demonstrar controlo a clientes e parceiros. Uma VPN restaura a fronteira e estabelece um perímetro controlável em torno dos colaboradores, onde quer que trabalhem.

Eis como pode aplicar a lição na sua empresa:

  • Restrinja o acesso por IP ou localização: permita acesso a ferramentas internas apenas a partir de dispositivos ou redes aprovados.
  • Tenha visibilidade total da rede: quando os inícios de sessão só são permitidos a partir da sua VPN, pode monitorizar o tráfego para os seus recursos e detetar potenciais ataques.
  • Imponha políticas consistentes: aplique regras de segurança na sua rede, em vez de depender de promessas de terceiros.

Sem uma VPN, o tráfego remoto move-se por redes públicas sem controlo centralizado, aumentando a exposição. A verdadeira segurança exige que a camada de rede e a camada de identidade operem como um sistema único e reforçado.

Transfira o Relatório completo de Cibersegurança SMB 2026

O Relatório de Cibersegurança SMB 2026 da Proton examina onde a confiança na segurança falha, porque faltam controlos fundamentais e como o trabalho híbrido remodelou a superfície de ataque para empresas em crescimento.

No interior do relatório, encontrará:

  • Padrões globais de incidentes e tendências de erro humano
  • O impacto financeiro dos incidentes de dados modernos
  • Lacunas de confiança na nuvem e na IA entre líderes empresariais
  • Passos práticos para criar sistemas de segurança em camadas
Transferir o relatório gratuito(nova janela)