0
0
Entretanto, estudo aponta que houve aumento de 21% nas empresas com execução de ações periódicas dentro de programa de conscientização de segurança
Desde janeiro, o número de ataques cibernéticos subiu para 3,4 bilhões. O ano de 2020 registrou uma alta no número de ataques em todo o mundo. Só no Brasil, foram 850 mil tentativas de ciberataques no último trimestre, segundo a Fortinet. No entanto, 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização e, apenas, 6% das empresas possuem um profissional dedicado, de acordo com pesquisa da Flipside.
“Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa de conscientização que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos”, alerta Priscila Meyer, Sócia-Fundadora da Flipside e CEO do Eskive.
A 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação revela um cenário embrionário no cuidado com os dados dentro das empresas, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as companhias passíveis das multas milionárias da LGPD.
Realizado pela Flipside, empresa especializada em conscientização corporativa em segurança da informação, e pelo Eskive, plataforma de monitoramento de vulnerabilidade humana e metrificação de programas de conscientização, o estudo envolveu 300 profissionais de segurança das principais empresas brasileiras em 26 segmentos distintos.
Fator humano
De acordo com um estudo da IBM Security, uma violação custa, na média global, US $ 3,8 milhões para as companhias, e contas comprometidas de funcionários são a causa mais cara.
“Os fatores humanos desempenham um papel significativo para proteger os negócios, a imagem e a estratégia da empresa. Apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança”, destaca Priscila Meyer.
Para a executiva, obter apoio e patrocínio da alta administração é talvez o aspecto mais importante para o programa de conscientização dentro das companhias. A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020.
Motivações de investimento
Segundo o estudo, as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente: minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio.
Além disso, as ameaças à segurança da informação que os entrevistados consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%).
“Esses receios ganham ainda mais espaço diante do contexto atual, com a popularização do trabalho remoto, em que os ambientes digitais, pessoais e profissionais se misturam”, alerta Priscila.
De acordo com a pesquisa, inteirar os usuários sobre privacidade por conta da LGPD é o segundo principal motivo de investimento em um programa de conscientização, com aumento de 6% em relação ao ano passado. Entretanto, apenas 29% das empresas possuem um programa de conscientização dedicado a desenvolver uma cultura de consciência sobre a importância dos dados pessoais e de capacitar seus usuários a como trabalhar em conformidade com a LGPD. Quase a metade (46%) das empresas afirmaram ter efetuado alguma ação de conscientização pontual.
Nos últimos cinco anos, houve um aumento de mais de 10% no número de empresas que começaram a investir em programas de conscientização. Entre os anos de 2016 e 2019, cerca de 33% das empresas não possuíam nenhum tipo de investimento em ações desse tipo, face a 22% em 2020. Dentro das companhias que investem até R$ 100.000,00, o número se manteve estável, na média de 50%. Orçamentos entre R$ 100.000,00 e R$ 500.000,00 tiveram um aumento de 6%. Empresas que investem acima de R$ 500.000,00 representam 10%.
Com o aumento da maturidade de programas de conscientização dentro das empresas, o estágio que obteve o resultado mais expressivo foi o de companhias que não tinham nenhum tipo de conscientização ou possuíam algumas ações pontuais, diminuindo uma média de 27%. Houve aumento de 21% nas empresas com execução de ações periódicas dentro de um programa de conscientização. O número de companhias que possuem ações periódicas com processos definidos registrou um aumento de 7%.
Para Priscila, o crescimento do número de ataques, o cenário de pandemia, o aumento de exigências regulatórias, o início da LGPD e as expectativas dos consumidores em relação ao nível de proteção de dados exigem das organizações pessoas cada vez mais preparadas e com habilidades que impulsionam a excelência em privacidade e segurança cibernética.
“Treinar os funcionários para que estejam preparados para lidar com os riscos inerentes às soluções de tecnologia que suas empresas estão adotando, para ajudá-las a se recuperar e renovar na era pós-pandemia, é um desafio crucial e deve ser encarado como estratégia de negócio para se criar vantagem competitiva”, finaliza.
FONTE: CIO