Risco cibernético: erro humano é responsável por 68% das violações de dados

A percepção de 74% dos líderes de segurança que veem o erro humano como o principal risco cibernético, de acordo com o estudo Voice of the CISO 2024, da Proofpoint, foi confirmada pelo Verizon Data Breach Investigations Report 2024, que aponta justamente estes descuidos como responsáveis por 68% das violações analisadas.

Os dados acendem um alerta às empresas e aos gestores do alto escalão, que precisam colocar a mão no bolso. Segundo o IBM Cost of a Data Breach Report 2024, o custo médio global de um vazamento alcançou US$ 4,88 milhões, e no Brasil este valor chega a R$ 6,75 milhões por incidente.

A solução, para Luiz Claudio, CEO e fundador da LC SEC, está principalmente na educação digital, apontada por ele como uma das estratégias mais eficazes para mitigar vulnerabilidades humanas. “Mesmo com investimentos em tecnologia, o comportamento das pessoas continua sendo o maior ponto de exposição das empresas”, afirma.

Ações educativas e conscientização constante

Para driblar estes números, o especialista criou uma série de ações educativas para apoiar companhias na adequação de normas, como ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA, e no aumento da maturidade em cibersegurança entre os funcionários. Entre elas, Luiz destaca onboarding seguro, drops quinzenais e treinamentos semestrais. “O objetivo é fortalecer a cultura de segurança corporativa e reduzir riscos de incidentes”.

Ele explica que o onboarding seguro é conduzido em formato digital, com duração média de 30 minutos, e criado para garantir que novos colaboradores adotem desde o primeiro dia as boas práticas de cibersegurança e compliance. “O programa aborda política de uso de sistemas, proteção de credenciais, autenticação multifator, classificação de informações e boas práticas em e-mail corporativo”, descreve. “Uma validação final assegura o entendimento das diretrizes e o uso responsável dos recursos tecnológicos”.

Já os drops quinzenais, enviados via Slack e e-mail, de acordo com o CEO, mantêm a segurança digital como parte da rotina dos times. “Cada edição traz dicas práticas sobre engenharia social, golpes de phishing, BYOD, atualizações de software, segurança em nuvem e senhas, em uma linguagem simples e direta”.

Com relação aos treinamentos semestrais, Luiz recomenda combinar teoria e simulações práticas, adaptadas para áreas como tecnologia, atendimento, financeiro e compliance. “No final dos cursos cada departamento recebe um relatório de engajamento que serve como métrica de evolução interna”, ressalta o  fundador da LC SEC.

Como exemplo, o executivo destaca o resultado bem sucedido de uma startup europeia de tecnologia que, após implantar o programa de conscientização, alcançou a recertificação da ISO 27001 em duas semanas, tempo 50% inferior à média de mercado para empresas do mesmo porte, segundo Luiz. Nesse caso, o projeto envolveu mapeamento de riscos, revisão de políticas internas, campanhas personalizadas e treinamentos focados em comportamento seguro. “Isso reduziu alertas de segurança e ampliou o nível de conformidade com o Regulamento Geral de Proteção de Dados – GDPR”.

O objetivo, independentemente do projeto, “é integrar segurança à rotina corporativa de forma natural, tornando cada colaborador parte ativa da defesa digital”, conclui.

• Comportamento
• Educação
• Empresas de tecnologia
• Segurança digital
• Tecnologia
• Treinamento