Conscientização Corporativa: uma pesquisa nacional

O que sabemos sobre o mercado de Segurança da Informação até hoje

A Flipside vai liberar a 3ª edição da Pesquisa Nacional Sobre Conscientização Corporativa em breve. O questionário é aplicado aos convidados e interessados no Mind The Sec São Paulo, a maior conferência em Segurança da Informação (SI) voltada para o mercado corporativo do país. O objetivo da pesquisa é entender como as empresas absorvem e trabalham a temática da Segurança da Informação, com foco em ações de conscientização, em seus ambientes. Como uma prévia, liberamos alguns dados comparativos que chamaram a atenção nos últimos 3 anos:

Discover & share this Google GIF with everyone you know. GIPHY is how you search, share, discover, and create GIFs.

Número de incidentes causados por fatores humanos

Incidentes causados por fatores humanos dizem respeito ao comportamento inseguro de colaboradores nos ambientes corporativos, como o descarte indiscriminado de informações confidenciais e sigilosas, a exposição de informações estratégicas em lousas e post-its e até o desconhecimento dos phishings direcionados que a empresa sofre constantemente.

Os ataques estão cada vez mais refinados e acontecem com maior frequência. E, apesar do maior investimento das empresas em Segurança da Informação (incluindo ações de conscientização), a maioria ainda não consegue visualizar e metrificar como as ações na área são relevantes para o cotidiano dos colaboradores e para o desenvolvimento de novas estratégias.

Nos últimos 12 meses, o número de incidentes de segurança causados por fatores humanos_ (2).png

Nível de maturidade das campanhas de conscientização

Como o aumento do investimento em Segurança da Informação é uma prática recente, as empresas ainda estão aprendendo a desenvolver suas metodologias e boas práticas na área. É interessante notar, por exemplo, que a informalidade das ações em SI ainda é mais frequente do que ações estruturadas e gerenciadas, ou seja, ações com objetivos e metas claras.

Também vale pontuar que, apesar de a maioria das empresas terem um processo de conscientização em Segurança da Informação organizado e com processos bem definidos, ainda são poucos os que pensam a longo prazo. A Flipside recomenda que todas as empresas cheguem a um processo otimizado, com a visão de melhorias contínuas. A precisão de uma campanha de conscientização dá maior controle para a empresa fazer gestão de danos e de riscos.

Qual o nível de maturidade do processo de conscientização de segurança da informação_.png

Os 10 comportamentos mais preocupantes

Quem trabalha com Segurança da Informação sabe que não basta ter as melhores ferramentas se os colaboradores não sabem utilizá-las da maneira correta. O mesmo vale para as campanhas de conscientização, cada empresa tem o seu contexto e alguns riscos terão mais impacto que outros em diferentes ambientes. Porém, é possível listar hábitos que preocupam gestores de diferentes áreas da mesma maneira.

O Phishing segue sendo o comportamento que mais traz dores de cabeça para as empresas. Clicar em links suspeitos e fazer o download de arquivos maliciosos é uma porta de acesso para atacantes invadirem sistemas, sequestrarem dados sensíveis e espionarem rotinas de grandes corporações. Mas não é o único problema enfrentados pelos CSOs, compartilhamento de senhas e uso de mídias removíveis também estão no ranking dos 5 hábitos mais preocupantes para as empresas.

É interessante notar a queda com relação ao “Uso inadequado do e-mail profissional”. O passar dos anos traz a cultura e o costume com ferramentas digitais faz com que as pessoas tenham maior discernimento na hora de usar determinados serviços. Apesar disso é sempre bom relembrar algumas regras de etiqueta para que nenhum colaborador encaminhe documentos da empresa para seu e-mail pessoal.

Enquanto isso cresce o medo dos gestores tanto quanto ao “Uso de softwares na nuvem” como de “Grupos de trabalho no Whatsapp”. A nuvem cresce enquanto formato de armazenamento e compartilhamento, muito por sua facilidade de acesso. Mas isso também pode facilitar ataques e vazamento de informações. Já os grupos do Whatsapp, que nem apareciam na pesquisa de 2016, tornaram-se fatores de risco a medida em que são o principal meio de compartilhamento de fake news.

Quais são os comportamentos dos usuários mais preocupam a empresa_.png

As 10 ações de conscientização mais efetivas

Em geral, os entrevistados são gestores que já possuem estratégias em Segurança da Informação e campanhas de conscientização bem definidas. Por terem desenvolvido algumas ações ao longo dos últimos anos, puderam apontar quais são as que surtem maiores efeitos com o colaboradores em geral:

  • Simulação de Phishing: forjar um ataque para saber quantos colaboradores estão atentos às táticas de invasão, também é uma das ações com maior facilidade de métrica de engajamento para desenvolvimento de novas soluções;

  • Comunicação periódica com dicas de segurança: ações educativas trazendo dados e informações da área dentro da linguagem de cada empresa é uma estratégia que dialoga com colaboradores de todas as hierarquias;

  • Treinamentos por meio de e-learning: educação à distância é uma das modalidades que mais cresce no país, além disso muitos colaboradores trabalham em plataformas digitais, o que facilita a participação em massa no treinamento.

Quais são as iniciativas mais efetivas em campanhas de conscientização_ (1).png

A aprovação da Lei Geral de Proteção de Dados e os recentes casos de vazamento de informações trazem uma nova luz no que diz respeito às ações de segurança da informação nas empresas. A cultura de segurança é uma resposta a longo prazo das campanhas de conscientização. Quem está há anos treinando sua equipe, agora colhe os louros do investimento.
Para acessar o ebook da Pesquisa Nacional Sobre Conscientização Corporativa, preencha o formulário e faça o download do arquivo. A pesquisa completa traz dados mais variados e profundos sobre o que aconteceu no último ano.

Anderson RamosComment