O Security Leaders apresentou, durante a edição do Congresso em Porto Alegre, dados colhidos pela pesquisa “Como as empresas disseminam a Conscientização de Segurança”, produzida em parceria com a Beephish. As informações reunidas apontam um cenário alarmante no que tange a preparação de usuários, pois quase 41% dos respondentes não possuem orçamento dedicado à conscientização dos usuários em SI.
Além da pesquisa, o Security Leaders lançou uma nova edição do ebook Executive Report, que traz uma análise dos números desse levantamento inédito no Brasil, além de comentários de CISOs sobre a eficácia das campanhas de conscientização e quais são as melhores práticas para engajar colaboradores, usuários e diretores.
De acordo com o CISO Advisor e CEO da Beephish, Glauco Sampaio, esse número expõe um cenário preocupante para a Segurança Cibernética, visto que os usuários são cada vez mais visados por campanhas de phishing e outros métodos de invasão, baseados em engenharia social. Dessa forma, na visão dele, não disseminar essa responsabilidade com o restante da empresa levará o elo mais importante da corrente a se tornar, também, o mais frágil.
Nesse cenário de conscientização, um tema recorrente é o uso e eficácia das políticas de gestão de consequências. O estudo destaca que 42% das empresas não possuem políticas de gestão de consequências aos usuários, contra 58% que possuem políticas estabelecidas ou em desenvolvimento. Isso evidencia, segundo Glauco Sampaio, como o tema tende a dividir opiniões entre os líderes de Segurança.
Diante disso, o CISO Advisor sugere utilizar outros meios de sancionar o usuário, baseados na restrição das atividades dele no meio corporativo. “Um exemplo é aplicar identificações de phishing cada vez mais recorrentes, conforme o nível de comprometimento do indivíduo. Dessa forma, minha defesa é por aplicar punições por meio de modalidades diferentes, indo além dos treinamentos de reciclagem ou demissão e gerando resultados educativos melhores”, completa.
Além disso, em 30,8% dos casos, os líderes de SI não possuíam ninguém de seu time focado em conscientização e cultura de Segurança. Sampaio alerta que a falta de times qualificados para disseminar as melhores práticas de Cibersegurança podem perder a relevância diante de todas as outras urgências de negócio. “Se a gente não trabalhar com as outras pessoas da empresa, nossa estratégia poderá ser ineficaz. Isso exige ter dedicação, constância e disciplina dos envolvidos”, acrescenta.
Sobre o estudo
A pesquisa “Como as empresas disseminam a Conscientização de Segurança”, foi realizada em parceria entre o Security Leaders e a Beephish para mapear as estratégias e desafios nos processos e campanhas de conscientização sobre Segurança da Informação. O estudo reuniu 300 respostas válidas de diversos segmentos da economia brasileira, incluindo Finanças, Varejo, Telecomunicações, Indústria, Serviços, Agro, Tecnologia, entre outros.
Conforme explica a Jornalista e Diretora Executiva do Security Leaders, Graça Sermoud, a pesquisa faz parte de um novo projeto lançado pelo SL que visa fortalecer a troca de experiências entre os líderes de Segurança da Informação que, hoje, fazem parte da comunidade nacional de C-Levels em Cibersegurança. Por meio desse novo setor, será possível gerar dados locais sobre as mais diversas tendências da SI do Brasil.
“Esses C-Levels representam a liderança de norte a sul do país e todos eles reforçam a necessidade de produzir informações locais que apoiem as negociações com os boards e conselhos. Dada a dificuldade de se alcançar um universo como esse, o objetivo e mover este e outros trabalhos de pesquisa para respaldar os times de Cyber na percepção do cenário brasileiro de Segurança, baseada na experiência de profissionais do setor”, conclui Graça.
