O ano de 2020 registrou uma alta no número de ataques cibernéticos em todo o mundo. Segundo a Fortinet, só no Brasil, foram 850 mil tentativas de ciberataques no último trimestre. Desde janeiro, o número sobe para 3,4 bilhões. De acordo ainda com um estudo da IBM Security, uma violação custa, na média global, US$ 3,8 milhões para as companhias, e contas comprometidas de funcionários são a causa mais cara.
Diante desse contexto, a 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação revela um cenário embrionário no cuidado com os dados dentro das empresas, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as companhias passíveis das multas milionárias da LGPD.
Realizado pela Flipside e pelo Eskive, o estudo envolveu 300 profissionais de segurança das principais empresas brasileiras em 26 segmentos distintos. Os dados mostram que 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização, e apenas 6% das empresas possuem um profissional dedicado. "Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa de conscientização que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos", alerta Priscila Meyer, sócia-fundadora da Flipside e CEO do Eskive.
Obter apoio e patrocínio da alta administração é talvez o aspecto mais importante para o programa de conscientização em segurança da informação dentro das companhias. A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020. "Os fatores humanos desempenham um papel significativo para proteger os negócios, a imagem e a estratégia da empresa. Apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança", destaca a executiva.
Minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio são as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente. Além disso, as ameaças à segurança da informação que os entrevistados consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%). "Esses receios ganham ainda mais espaço diante do contexto atual, com a popularização do trabalho remoto, em que os ambientes digitais, pessoais e profissionais se misturam", alerta Priscila.
De acordo com a pesquisa, inteirar os usuários sobre privacidade por conta da LGPD é o segundo principal motivo de investimento em um programa de conscientização e, se comparado à pesquisa de 2019, houve um aumento de 6%. Entretanto, apenas 29% das empresas possuem um programa de conscientização dedicado a desenvolver uma cultura de consciência sobre a importância dos dados pessoais e de capacitar seus usuários a como trabalhar em conformidade com a LGPD. 46% das empresas afirmaram ter efetuado alguma ação de conscientização pontual. "Não é possível criar uma cultura em relação ao uso de dados pessoais nas empresas, em que as pessoas entendam o valor comercial dessas informações, sem antes compreender a importância de valorizá-las e aprender quais são as consequências de não lidar com elas adequadamente", afirma a executiva.
Nos últimos cinco anos, houve um aumento de mais de 10% no número de empresas que começaram a investir em programas de conscientização. Entre os anos de 2016 e 2019, cerca de 33% das empresas não possuíam nenhum tipo de investimento em ações desse tipo, face a 22% em 2020. Dentro das companhias que investem até R$ 100.000,00, o número se manteve estável, na média de 50%. Orçamentos entre R$ 100.000,00 e R$ 500.000,00 tiveram um aumento de 6%. Empresas que investem acima de R$ 500.000,00 representam 10%. "É possível observar um aumento significativo nas empresas em adotar um budget exclusivo para o desenvolvimento de um programa de consciência e um aumento no volume do orçamento nas empresas que já possuíam um budget para treinar e conscientizar os usuários em segurança da informação", pontua Priscila.
Com o aumento da maturidade de programas de conscientização dentro das empresas, o estágio que obteve o resultado mais expressivo foi o de companhias que não tinham nenhum tipo de conscientização ou possuíam algumas ações pontuais, diminuindo uma média de 27%. Houve aumento de 21% nas empresas com execução de ações periódicas dentro de um programa de conscientização, e o número de companhias que possuem ações periódicas com processos definidos registrou um aumento de 7%. "As empresas ainda estão num crescimento de maturidade lento e se encontram numa maturidade intermediária em seus programas de conscientização. É preciso garantir que os esforços sejam integrados e que a mudança alcance benefícios reais e duradouros", explica Priscila.
Para a executiva, o crescimento do número de ataques, o cenário de pandemia, o aumento de exigências regulatórias, o início da LGPD e as expectativas dos consumidores em relação ao nível de proteção de dados exigem das organizações pessoas cada vez mais preparadas e com habilidades que impulsionam a excelência em privacidade e segurança cibernética. "Nunca ficou tão evidente a necessidade de um programa de consciência para enfrentar estes desafios envolvendo todos os funcionários para que recebam treinamentos apropriados em um esforço para proteger os dados que lhe forem confiados", destaca. "Treinar os funcionários para que estejam preparados para lidar com os riscos inerentes às soluções de tecnologia que suas empresas estão adotando, para ajudá-las a se recuperar e renovar na era pós-pandemia, é um desafio crucial e deve ser encarado como estratégia de negócio para se criar vantagem competitiva", finaliza.