Uma nova pesquisa da Kaspersky revela que 42% dos trabalhadores brasileiros desconhecem as políticas de segurança digital adotadas pelas empresas em que trabalham. A falta de conhecimento torna as organizações mais vulneráveis a ciberataques, já que funcionários são alvos constantes de golpes que envolvem cliques em links maliciosos ou instalação de software que permitem o acesso indevido à rede corporativa. As consequências incluem o vazamento de dados confidenciais, como propriedade intelectual, informações financeiras e dados de clientes.
Os resultados do estudo da Kaspersky, realizado em parceria com a consultoria Corpa, mostram que 22% dos brasileiros não sabem se sua empresa possui algum tipo de norma relacionada à segurança. Já 20% dos funcionários sabem que existe uma política, mas desconhecem seu conteúdo. No total, quase 4 em cada 10 funcionários não sabem o que a empresa espera deles para manter o ambiente corporativo protegido.
Os dados mostram ainda que 7% das organizações no Brasil não possuem políticas de segurança digital. Apesar de esse índice ser “baixo”, essas empresas acabam se expondo a ataques online por negligenciarem um aspecto essencial da cibersegurança. Felizmente, 51% das organizações brasileiras já possuem políticas claras, e seus colaboradores sabem como elas funcionam.
Segundo Roberto Rebouças, gerente-geral da Kaspersky no Brasil, a desinformação dos funcionários em relação às práticas de segurança adotadas pela empresa aumenta significativamente o risco de ciberataques. “Criminosos visam diretamente as pessoas, apostando que um simples clique em um link suspeito ou a instalação de um programa — até mesmo uma suposta atualização — seja suficiente para obter acesso à rede corporativa”, alerta.
O risco não está limitado à empresa, pois o cibercrime se preocupa apenas com o lucro — independentemente da origem do dinheiro. Essa consciência é importante, pois mais de um quarto (28%) dos brasileiros usa computadores pessoais no trabalho — nessa situação, uma infecção afeta diretamente o indivíduo e ainda expõe a organização quando o dispositivo for conectado à rede da empresa.
A linha tênue entre vida pessoal e trabalho fica ainda mais estreita quando a pesquisa analisa as ações realizadas pelos funcionários nos equipamentos corporativos. De acordo com os dados, o acesso a redes sociais pessoais, compras online e consultas bancárias lideram as práticas, com 49%. Em segundo lugar está o uso de serviços de inteligência artificial, com 38%. Já o hábito de se conectar a redes Wi-Fi públicas ou abertas é relatado por um em cada três entrevistados (29%).
“Normalmente, a primeira coisa que pedimos ao chegar a um restaurante é a senha do Wi-Fi. Esse comportamento é um risco para as pessoas, pois não se sabe quem está monitorando a conexão — e o celular estará exposto caso exista algum espião. Quando o equipamento é corporativo, o risco é ainda maior, pois dispositivos empresariais costumam conter mais informações sensíveis, como propriedade intelectual e dados de clientes”, destaca Rebouças.
A pesquisa mostra ainda que 15% dos brasileiros estariam dispostos a baixar aplicativos, softwares ou plataformas sem autorização prévia, 17% acessam sites pornográficos com equipamentos corporativos e 12% clicam em links de ofertas ou promoções sem verificar sua veracidade. “Apesar de esses índices serem mais baixos em relação a outras práticas, esses três comportamentos representam um risco altíssimo para a segurança pessoal e corporativa, e são situações normalmente previstas nas políticas de segurança”, reforça Rebouças.
De acordo com o relatório de Resposta a Incidentes da Kaspersky, o phishing (mensagens falsas com links fraudulentos) é o quarto vetor de infecção mais comum. O segundo mais comum é o uso de contas corporativas válidas por parte dos criminosos — o que significa que essas senhas já haviam sido roubadas, muitas vezes por meio de campanhas de phishing.
“Pense em uma casa. Queremos que ela seja segura, mas não há sistema que proteja se as pessoas, ao saírem, deixarem portas e janelas abertas. O nível de segurança de qualquer estrutura será sempre equivalente à força do seu elo mais fraco. Se os funcionários não sabem como se proteger e proteger a empresa em que trabalham, é fundamental que as organizações invistam na educação digital dessas pessoas”, destaca o executivo.
Para que as empresas possam se proteger contra ataques visando seus funcionários, a Kaspersky recomenda:
Treinar todos os funcionários sobre o básico. Existem plataformas online, como o Kaspersky Automated Security Awareness Platform, que permitem personalizar os módulos de aprendizado conforme o perfil de cada colaborador. Entre os temas abordados estão proteção de contas online, segurança em e-mails, proteção do computador e LGPD (Lei Geral de Proteção de Dados).
Criar políticas e adotar tecnologias que dependam o mínimo possível do fator humano. É possível bloquear e-mails com arquivos e links maliciosos diretamente no servidor, reduzindo o risco de cliques desatentos. No entanto, não existe segurança 100% garantida — o treinamento ainda é indispensável.
Usar autenticação em dois fatores (2FA). Uma VPN corporativa ajuda a impedir que criminosos acessem dados confidenciais mesmo com um login indevido. Mas se uma conta válida for comprometida, a 2FA — especialmente com uso de token físico — pode impedir o acesso.
Realizar simulações de phishing. Testes periódicos ajudam a medir o nível de conscientização dos colaboradores e identificar a necessidade de reciclagem. A solução da Kaspersky já inclui essa funcionalidade.
Garantir o envolvimento da liderança da empresa. Quando os líderes demonstram preocupação com a segurança corporativa, os colaboradores tendem a seguir o exemplo e adotar boas práticas com mais facilidade.
