Entretanto, estudo aponta que houve aumento de 21% nas empresas com execução de ações periódicas dentro de programa de conscientização de segurança
Desde janeiro, o número de ataques cibernéticos subiu para 3,4 bilhões. O ano de 2020 registrou uma alta no número de ataques em todo o mundo. Só no Brasil, foram 850 mil tentativas de ciberataques no último trimestre, segundo a Fortinet. No entanto, 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização e, apenas, 6% das empresas possuem um profissional dedicado, de acordo com pesquisa da Flipside.
Leia também: 6 novas maneiras que ciberameaças poderão atacar em 2021
“Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa de conscientização que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos”, alerta Priscila Meyer, Sócia-Fundadora da Flipside e CEO do Eskive.
A 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação revela um cenário embrionário no cuidado com os dados dentro das empresas, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as companhias passíveis das multas milionárias da LGPD.
Realizado pela Flipside, empresa especializada em conscientização corporativa em segurança da informação, e pelo Eskive, plataforma de monitoramento de vulnerabilidade humana e metrificação de programas de conscientização, o estudo envolveu 300 profissionais de segurança das principais empresas brasileiras em 26 segmentos distintos.
De acordo com um estudo da IBM Security, uma violação custa, na média global, US $ 3,8 milhões para as companhias, e contas comprometidas de funcionários são a causa mais cara.
“Os fatores humanos desempenham um papel significativo para proteger os negócios, a imagem e a estratégia da empresa. Apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança”, destaca Priscila Meyer.
Para a executiva, obter apoio e patrocínio da alta administração é talvez o aspecto mais importante para o programa de conscientização dentro das companhias. A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020.
Segundo o estudo, as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente: minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio.
Além disso, as ameaças à segurança da informação que os entrevistados consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%).
“Esses receios ganham ainda mais espaço diante do contexto atual, com a popularização do trabalho remoto, em que os ambientes digitais, pessoais e profissionais se misturam”, alerta Priscila.
De acordo com a pesquisa, inteirar os usuários sobre privacidade por conta da LGPD é o segundo principal motivo de investimento em um programa de conscientização, com aumento de 6% em relação ao ano passado. Entretanto, apenas 29% das empresas possuem um programa de conscientização dedicado a desenvolver uma cultura de consciência sobre a importância dos dados pessoais e de capacitar seus usuários a como trabalhar em conformidade com a LGPD. Quase a metade (46%) das empresas afirmaram ter efetuado alguma ação de conscientização pontual.
Nos últimos cinco anos, houve um aumento de mais de 10% no número de empresas que começaram a investir em programas de conscientização. Entre os anos de 2016 e 2019, cerca de 33% das empresas não possuíam nenhum tipo de investimento em ações desse tipo, face a 22% em 2020. Dentro das companhias que investem até R$ 100.000,00, o número se manteve estável, na média de 50%. Orçamentos entre R$ 100.000,00 e R$ 500.000,00 tiveram um aumento de 6%. Empresas que investem acima de R$ 500.000,00 representam 10%.
Com o aumento da maturidade de programas de conscientização dentro das empresas, o estágio que obteve o resultado mais expressivo foi o de companhias que não tinham nenhum tipo de conscientização ou possuíam algumas ações pontuais, diminuindo uma média de 27%. Houve aumento de 21% nas empresas com execução de ações periódicas dentro de um programa de conscientização. O número de companhias que possuem ações periódicas com processos definidos registrou um aumento de 7%.
Para Priscila, o crescimento do número de ataques, o cenário de pandemia, o aumento de exigências regulatórias, o início da LGPD e as expectativas dos consumidores em relação ao nível de proteção de dados exigem das organizações pessoas cada vez mais preparadas e com habilidades que impulsionam a excelência em privacidade e segurança cibernética.
“Treinar os funcionários para que estejam preparados para lidar com os riscos inerentes às soluções de tecnologia que suas empresas estão adotando, para ajudá-las a se recuperar e renovar na era pós-pandemia, é um desafio crucial e deve ser encarado como estratégia de negócio para se criar vantagem competitiva”, finaliza.
