Empresas pecam ao não preparar funcionários para LGPD, alerta estudo

O ano de 2020 registrou uma alta no número de ataques em todo o mundo. Só no Brasil, foram 850 mil tentativas de ciberataques no último trimestre, segundo levantamento da Fortinet. No entanto, 66% das companhias dedicam de 1% a 25% de todo o tempo do time de segurança da informação em programas de conscientização e, apenas, 6% das empresas possuem um profissional dedicado, alerta pesquisa da Flipside.

Leia também: Twitter deverá pagar multa por violação de dados de mais de meio milhão de dólares

“Apesar de uma tendência de crescimento, vemos um baixo esforço para garantir o amadurecimento de um programa de conscientização que garanta que todos os agentes da companhia sejam capazes de evitar vazamentos”, alerta Priscila Meyer, Sócia-Fundadora da Flipside e CEO do Eskive.

A 5ª Pesquisa Nacional Eskive sobre Conscientização em Segurança da Informação revela um cenário embrionário no cuidado com os dados dentro das empresas, em que o fator humano, principal vulnerabilidade para ataques, está negligenciado, deixando as companhias passíveis das multas milionárias da LGPD. O estudo envolveu 300 profissionais de segurança das principais empresas brasileiras em 26 segmentos distintos.

Prevenir é, ainda, o melhor remédio

Uma violação custa, na média global, US $ 3,8 milhões para as companhias, segundo estudo da IBM Security. Contas comprometidas de funcionários são a causa mais cara.

“Os fatores humanos desempenham um papel significativo para proteger os negócios, a imagem e a estratégia da empresa. Apesar do apoio da alta direção ter aumentado, espera-se uma liderança mais ciente quanto à priorização dos investimentos de treinamento de conscientização de segurança”, destaca Priscila Meyer.

A pesquisa mostrou um aumento de 11% no apoio da alta direção nesse tipo de iniciativa, deixando evidente que o papel do usuário na proteção das informações entrou na agenda dos executivos em 2020.

Segundo o estudo, as três principais causas que levam as empresas a investirem em um programa de conscientização, respectivamente: minimizar riscos de incidentes; LGPD, exigências regulatórias e de auditoria; e segurança como estratégia de negócio.

Além disso, as ameaças à segurança da informação que os entrevistados consideram mais relevantes relacionadas aos comportamentos dos usuários incluem o crescimento de ataques de phishing (9%) e uma maior preocupação em relação ao uso inadequado do e-mail profissional (16%), ao uso de grupos de trabalho em aplicativos de mensagens instantâneas (4%), à visitas a sites maliciosos (11%) e ao compartilhamento indevido em redes sociais (3%).

“Esses receios ganham ainda mais espaço diante do contexto atual, com a popularização do trabalho remoto, em que os ambientes digitais, pessoais e profissionais se misturam”, alerta Priscila.

De acordo com a pesquisa, inteirar os usuários sobre privacidade por conta da LGPD é o segundo principal motivo de investimento em um programa de conscientização, com aumento de 6% em relação ao ano passado. Entretanto, apenas 29% das empresas possuem um programa de conscientização dedicado a desenvolver uma cultura de consciência sobre a importância dos dados pessoais e de capacitar seus usuários a como trabalhar em conformidade com a LGPD. Quase a metade (46%) das empresas afirmaram ter efetuado alguma ação de conscientização pontual.

“Treinar os funcionários para que estejam preparados para lidar com os riscos inerentes às soluções de tecnologia que suas empresas estão adotando, para ajudá-las a se recuperar e renovar na era pós-pandemia, é um desafio crucial e deve ser encarado como estratégia de negócio para se criar vantagem competitiva”, finaliza Priscila.