Conscientização Corporativa: uma pesquisa nacional

O que sabemos sobre o mercado de Segurança da Informação até hoje

A Flipside vai liberar a 3ª edição da Pesquisa Nacional Sobre Conscientização Corporativa em breve. O questionário é aplicado aos convidados e interessados no Mind The Sec São Paulo, a maior conferência em Segurança da Informação (SI) voltada para o mercado corporativo do país. O objetivo da pesquisa é entender como as empresas absorvem e trabalham a temática da Segurança da Informação, com foco em ações de conscientização, em seus ambientes. Como uma prévia, liberamos alguns dados comparativos que chamaram a atenção nos últimos 3 anos:

Número de incidentes causados por fatores humanos

Incidentes causados por fatores humanos dizem respeito ao comportamento inseguro de colaboradores nos ambientes corporativos, como o descarte indiscriminado de informações confidenciais e sigilosas, a exposição de informações estratégicas em lousas e post-its e até o desconhecimento dos phishings direcionados que a empresa sofre constantemente.

Os ataques estão cada vez mais refinados e acontecem com maior frequência. E, apesar do maior investimento das empresas em Segurança da Informação (incluindo ações de conscientização), a maioria ainda não consegue visualizar e metrificar como as ações na área são relevantes para o cotidiano dos colaboradores e para o desenvolvimento de novas estratégias.

Nos últimos 12 meses, o número de incidentes de segurança causados por fatores humanos_ (2).png

Nível de maturidade das campanhas de conscientização

Como o aumento do investimento em Segurança da Informação é uma prática recente, as empresas ainda estão aprendendo a desenvolver suas metodologias e boas práticas na área. É interessante notar, por exemplo, que a informalidade das ações em SI ainda é mais frequente do que ações estruturadas e gerenciadas, ou seja, ações com objetivos e metas claras.

Também vale pontuar que, apesar de a maioria das empresas terem um processo de conscientização em Segurança da Informação organizado e com processos bem definidos, ainda são poucos os que pensam a longo prazo. A Flipside recomenda que todas as empresas cheguem a um processo otimizado, com a visão de melhorias contínuas. A precisão de uma campanha de conscientização dá maior controle para a empresa fazer gestão de danos e de riscos.

Qual o nível de maturidade do processo de conscientização de segurança da informação_.png

Os 10 comportamentos mais preocupantes

Quem trabalha com Segurança da Informação sabe que não basta ter as melhores ferramentas se os colaboradores não sabem utilizá-las da maneira correta. O mesmo vale para as campanhas de conscientização, cada empresa tem o seu contexto e alguns riscos terão mais impacto que outros em diferentes ambientes. Porém, é possível listar hábitos que preocupam gestores de diferentes áreas da mesma maneira.

O Phishing segue sendo o comportamento que mais traz dores de cabeça para as empresas. Clicar em links suspeitos e fazer o download de arquivos maliciosos é uma porta de acesso para atacantes invadirem sistemas, sequestrarem dados sensíveis e espionarem rotinas de grandes corporações. Mas não é o único problema enfrentados pelos CSOs, compartilhamento de senhas e uso de mídias removíveis também estão no ranking dos 5 hábitos mais preocupantes para as empresas.

É interessante notar a queda com relação ao “Uso inadequado do e-mail profissional”. O passar dos anos traz a cultura e o costume com ferramentas digitais faz com que as pessoas tenham maior discernimento na hora de usar determinados serviços. Apesar disso é sempre bom relembrar algumas regras de etiqueta para que nenhum colaborador encaminhe documentos da empresa para seu e-mail pessoal.

Enquanto isso cresce o medo dos gestores tanto quanto ao “Uso de softwares na nuvem” como de “Grupos de trabalho no Whatsapp”. A nuvem cresce enquanto formato de armazenamento e compartilhamento, muito por sua facilidade de acesso. Mas isso também pode facilitar ataques e vazamento de informações. Já os grupos do Whatsapp, que nem apareciam na pesquisa de 2016, tornaram-se fatores de risco a medida em que são o principal meio de compartilhamento de fake news.

Quais são os comportamentos dos usuários mais preocupam a empresa_.png

As 10 ações de conscientização mais efetivas

Em geral, os entrevistados são gestores que já possuem estratégias em Segurança da Informação e campanhas de conscientização bem definidas. Por terem desenvolvido algumas ações ao longo dos últimos anos, puderam apontar quais são as que surtem maiores efeitos com o colaboradores em geral:

  • Simulação de Phishing: forjar um ataque para saber quantos colaboradores estão atentos às táticas de invasão, também é uma das ações com maior facilidade de métrica de engajamento para desenvolvimento de novas soluções;

  • Comunicação periódica com dicas de segurança: ações educativas trazendo dados e informações da área dentro da linguagem de cada empresa é uma estratégia que dialoga com colaboradores de todas as hierarquias;

  • Treinamentos por meio de e-learning: educação à distância é uma das modalidades que mais cresce no país, além disso muitos colaboradores trabalham em plataformas digitais, o que facilita a participação em massa no treinamento.

Quais são as iniciativas mais efetivas em campanhas de conscientização_ (1).png

A aprovação da Lei Geral de Proteção de Dados e os recentes casos de vazamento de informações trazem uma nova luz no que diz respeito às ações de segurança da informação nas empresas. A cultura de segurança é uma resposta a longo prazo das campanhas de conscientização. Quem está há anos treinando sua equipe, agora colhe os louros do investimento.
Para acessar o ebook da Pesquisa Nacional Sobre Conscientização Corporativa, preencha o formulário e faça o download do arquivo. A pesquisa completa traz dados mais variados e profundos sobre o que aconteceu no último ano.

Ana Carolina SaccardoComment