Em 2022, 68% das empresas brasileiras relataram ter sofrido violações de cibersegurança, segundo o estudo da The State of Ransomware 2023, da empresa global de cibersegurança Sophos – um aumento de 24% em comparação a 2021. “Não é uma questão de ‘se‘, e sim de quando você será atacado”, diz André Fleury, head de cibersegurança da Accenture na América Latina.
Leia também
- Por mais dias de home office, 85% dos profissionais trocariam de emprego
- Como ser bem-sucedido: 13 lições de Sam Altman, fundador do ChatGPT
- Apple é a mais nova empresa a proibir que funcionários usem o ChatGPT
O trabalho remoto tem criado mais portas de entrada de criminosos aos sistemas das empresas. Esse regime está ligado ao uso cada vez mais frequente da internet pessoal dos funcionários e máquinas próprias, além de diferentes plataformas corporativas de comunicação assíncrona. “Quando todo mundo foi para o remoto por conta da pandemia, várias empresas se viram obrigadas a promover segurança nas casas dos seus funcionários”, diz Gilmar Esteves, vice-presidente de segurança da informação da Zup, empresa de tecnologia.
Sistemas de segurança e antivírus poderosos não impedem totalmente violações de segurança nas empresas, uma vez que simples ações dos usuários podem facilitar o acesso de um hacker ao sistema operacional da companhia – como fornecer senhas e acesso remoto a máquinas. Por isso, especialistas apontam que é fundamental conscientizar os funcionários em cibersegurança por meio de treinamentos corporativos lúdicos e práticos.
Prejuízo financeiro dos ciberataques às empresas
O prejuízo que empresas têm em casos de ransomware envolve a retomada do seu sistema de segurança e dos dados roubados, além de um período com redução de produtividade ou paralisação das operações para resolver o problema.
No Brasil, a IBM mostra que uma violação de cibersegurança custa às empresas em média US$ 1,38 milhão (R$ 6,88 milhões) – o país tem a maior taxa de crescimento (27,8%) do custo médio de um ataque. O valor varia de acordo com a extensão do ataque, a natureza dos dados comprometidos e a estrutura que a empresa já tinha antes da ocorrência da sua violação. “O mercado tem agido mais quando os ataques acontecem do que de forma preventiva”, diz André Carneiro, senior managing director da companhia de cibersegurança Sophos. “Com o dano, as empresas gastam muito do dinheiro que poderia ter usado para prevenir que isso acontecesse.”
Por que funcionários cometem erros que comprometem a cibersegurança
Exigência por maior produtividade, sobrecarga de trabalho e exaustão são algumas das causas de erros humanos no trabalho que comprometem a cibersegurança de seus empregadores, apontaram os funcionários entrevistados em um estudo da Universidade de Stanford de 2022. Dos respondentes, 26% já caíram em ataques de phishing – por e-mail ou mensagens de texto – e 32% já atenderam pedidos de hackers que simulavam situações reais no contexto de trabalho. A maioria deles teve esse tipo de comportamento quando estavam cansados (51%), estressados (50%), distraídos (50%) ou trabalhando rápido (48%).
Entre as razões pelas quais os funcionários geralmente se tornam portas de entrada de ataques cibernéticos estão a aparente legitimidade da mensagem (54%), o suposto envio por parte de uma chefia (52%) ou a crença de que o conteúdo seria de uma marca ou pessoa com boa reputação (38%). Isso vale tanto para um e-mail duvidoso com links quanto para mensagens em plataformas corporativas de pessoas se passando por profissionais internos de TI e pedindo senhas de máquinas da empresa.
Não é falta de conhecimento e, sim, de hábito
“Mandamos um e-mail para todos os funcionários da empresa prometendo um relógio da Apple para os 100 primeiros respondentes de uma pesquisa interna do RH”, contou Carneiro, senior managing director da companhia. “A montagem do e-mail relembrava o real, mas o remetente não existia na empresa e o domínio dele não era igual ao nosso. Mesmo assim, cerca de 50% da companhia clicou no link”. A recompensa para quem entrou na pesquisa falsa foi, na verdade, um treinamento de 20 minutos sobre os riscos de clicar em um link desse tipo ou inserir um pen drive em uma máquina desconhecida.
Para aproximar as questões de segurança corporativa aos empregados de empresas, a Acadi-TI traz a importância da proteção de dados pessoais nas capacitações que oferece. “Para as pessoas, algumas coisas como fotos e dados pessoais não têm preço. Um clique pode colocar tudo a perder”, diz Josué Adil, diretor-executivo da empresa de capacitação em cibersegurança Acadi-TI. “Com esse jogo psicológico, a gente vai mudando a cultura da pessoa ao estar conectada não só no pessoal, mas também na organização em que ela trabalha.”
Boas práticas de proteção das informações do seu trabalho
Os especialistas em cibersegurança entrevistados pela Forbes Brasil deram dicas de comportamentos que os funcionários podem ter para diminuir a vulnerabilidade empregador a ataques. Confira: