Priscila Meyer¹
Vivemos um período de grandes desafios nos últimos anos. Quem imaginaria que teríamos uma mudança completa na sociedade devido a um fator não bélico? A pandemia do novo coronavírus mudou a forma como encaramos as pessoas, o trabalho e as interações humanas.
A internet e a digitalização entraram em nossas vidas e nos aproximaram – mesmo que virtualmente – enquanto precisávamos estar longe. Por outro lado, a quarentena elevou o número das ações dos cibercriminosos a patamares nunca antes imaginados, e fez com que o assunto segurança da informação e privacidade de dados se tornasse um dos mais críticos para a alta direção das empresas.
O ano de 2020 também ficará marcado pelo início da vigência da LGPD. E isso exige que as empresas não apenas gerenciem e protejam melhor os dados para evitar multas e penalidades significativas, mas garantam ao mercado transparência em seus controles como fator crucial para reputação de suas marcas.
O que vemos com frequência, entretanto, são violações de dados expondo informações pessoais de milhões de pessoas. Diante desse contexto, a 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação, que envolveu 300 profissionais de segurança das principais empresas brasileiras, revela um cenário embrionário no cuidado com os dados dentro das companhias, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as empresas passíveis das multas milionárias da LGPD.
O surgimento da área de conscientização nas empresas
O aumento do número de golpes durante a pandemia utilizando artifícios para enganar as vítimas, como campanhas enganosas de solidariedade, fez com que a importância do papel do usuário na proteção dos dados ficasse muito mais evidente. O princípio da responsabilidade como tema fundamental na LGPD também mostrou que os usuários precisam ser treinados quanto à importância da proteção e privacidade das informações.
Estes fatores impulsionaram as empresas no entendimento acerca da necessidade de prover a seus usuários conhecimentos necessários sobre proteção de dados e investir em profissionais capacitados para desenvolver um programa de conscientização contínuo.
A pesquisa mostra que 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização, e apenas 6% das empresas possuem um profissional dedicado. Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos.
Apoio da alta direção Obter apoio e patrocínio da alta administração é, talvez, o aspecto mais importante para o programa de conscientização em segurança da informação dentro das companhias.
A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020. Diante do papel significativo que os fatores humanos desempenham para proteger os negócios, a imagem e a estratégia da empresa, apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança.
O que leva as empresas a investirem em um programa de conscientização Minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio são as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente.
Além disso, as ameaças à segurança da informação que as companhias consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%). Por conta do cenário atual, pode-se perceber que os resultados foram impulsionados por dois principais fatores: o aumento no trabalho remoto e os requisitos impostos pela LGPD.
LGPD: uma lei que mudou a privacidade para sempre
Apesar da vigência da LGPD, há uma grande desconexão entre a percepção das pessoas sobre privacidade e o que elas devem fazer para garantir que seus dados pessoais estejam protegidos. Com isso, as empresas assumem a responsabilidade que vai muito além do que é simplesmente exigido por lei, desenvolvendo uma cultura que envolve ensinar às pessoas porque devem se preocupar com a proteção da privacidade e as implicações concretas que as violações podem ter nos indivíduos e na organização.
De acordo com a pesquisa, apenas 29% das empresas possuem um programa de conscientização dedicado a desenvolver uma cultura de consciência sobre a importância dos dados pessoais e de capacitar seus usuários a como trabalhar em conformidade com a LGPD.
Diante deste cenário, é evidente que não é possível criar uma cultura em relação ao uso de dados pessoais nas empresas, em que as pessoas entendam o valor comercial dessas informações, sem antes compreender a importância de valorizá-los e aprender quais são as consequências de não lidar com eles adequadamente.
O futuro a curto prazo
Os últimos meses foram marcados por imensos desafios para quem tem a tarefa de proteger as informações das organizações. O crescimento do número de ataques, o cenário de pandemia, o aumento de exigências regulatórias, o início da LGPD e as expectativas dos consumidores em relação ao nível de proteção de dados exigem das organizações pessoas cada vez mais preparadas e com habilidades que impulsionam a excelência em privacidade e segurança cibernética. Nunca ficou tão evidente a necessidade de um programa de consciência para enfrentar estes desafios envolvendo todos os funcionários para que recebam treinamentos apropriados para proteger os dados que lhe forem confiados.
Porém, apesar do aumento do esforço dedicado em programas de conscientização e do apoio da alta administração, sabemos que as iniciativas dentro das organizações ainda estão muito distantes destes desafios que a área de segurança da informação vem enfrentando.
A velocidade na qual os negócios estão se digitalizando e a interação dos clientes com as marcas por meio de uma variedade de pontos de contato não refletem nas ações de conscientização e, por isso, é possível observar um número preocupante de funcionários despreparados para lidar com a evolução das ameaças destes novos cenários.
Treinar os colaboradores para que estejam preparados para enfrentar os riscos inerentes às soluções de tecnologia que suas empresas estão adotando, para ajudá-las a se recuperar e renovar na era pós-pandemia, é um desafio crucial e deve ser encarado como estratégia de negócio para se criar vantagem competitiva.
Os times e especialistas em risco e segurança não podem mudar o curso das principais interrupções que afetam as empresas, mas podem treinar as pessoas para que possam entender as vulnerabilidades e ameaças cibernéticas em potencial e, como consequência, prevenir ataques.
¹Priscila Meyer é sócia-fundadora da Flipside, líder no continente em conscientização corporativa em segurança da informação, e CEO do Eskive, primeira plataforma brasileira de monitoramento de vulnerabilidade humana e metrificação de programas de conscientização, ambos idealizadores da 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação
