A Osteman Research realizou uma pesquisa em outubro de 2019 pra determinar o nível de conhecimento sobre cibersegurança e as melhores práticas de privacidade adotadas por empregados em uma variedade de empresas nos EUA.
Os resultados da pesquisa impressionam, não só pela falta de conhecimento em geral dos funcionários sobre os temas abordados, mas também por erros conceituais sobre risco digital, privacidade e segurança da informação. Abaixo você encontra os sete principais insights da pesquisa.
A conscientização sobre questões básicas ainda é pequena
Somente 17% dos funcionários conseguem identificar um ataque de engenharia social e três em cada 10 admitiu não ter confiança em identificar um e-mail de phishing.
Nessa tática, um site falso usa cores, logotipos e informações de páginas legítimas (como o site do seu banco) para sequestrar informações pessoais. Por exemplo, você pode receber um e-mail avisando sobre uma transferência indevida na sua conta corrente, ao clicar, uma página falsa do seu banco é aberta e captura deus dados de acesso. O número de sites de phishing apresentou o maior crescimento nos últimos três anos, agora podemos entender o porquê.
Os usuários estão desinformados sobre riscos digitais
Pode ser uma surpresa, mas 1 em cada 7 pessoas acredita que se um laptop ou smartphone ficar próximo a outro equipamento infectado, o malware será transmitido ao dispositivo limpo. É uma associação clara entre um vírus digital (o tipo de malware mais conhecido) e aqueles que causam uma gripe.
Não conectar um dispositivo USB desconhecido é uma regra básica de segurança digital, certo? Não para 14% dos entrevistados que não veem problema algum em conectar dispositivos desconhecidos em seus equipamentos.
Um estudo da Universidade de Illinois já havia, em 2016, descoberto que quase metade dos 297 pen drives deixados aleatoriamente no campus foram plugados em algum dispositivo. Essa é uma falha grave, que pode levar ao comprometimento de toda a rede da companhia.
Nem tudo são más notícias
Apesar da falta de conscientização de segurança ter sido apontada no estudo, alguns conceitos são bem entendidos pelos usuários. Por exemplo, 6 em cada 10 pessoas disseram saber que muitos pop-ups na tela podem indicar uma infecção por malware.
Usar uma senha única para cada aplicação é importante para 52% dos respondentes e 37% consideram o uso de caracteres especiais também chave na criação de senhas fortes.
Não podemos encarar esse como um cenário tão positivo, no entanto. Em uma empresa com milhares de funcionários, basta uma única pessoa para colocar todo o ambiente em risco.
Segurança não é um problema meu, é da TI
Essa foi uma constatação crítica da pesquisa. Muitos usuários não farão mais do que a obrigação para proteger a empresa, entenda por obrigação aquilo que a TI determina como políticas obrigatórias.
Ainda que 49% das pessoas indicaram que muito provavelmente reportariam um incidente de segurança, um terço disse que talvez o faria e 19% disseram que simplesmente não avisariam sobre o problema.
Esse é um dado preocupante porque um único incidente grave que não seja corretamente reportado pode levar a uma falha catastrófica para a continuidade dos negócios.
Falta entendimento sobre as regulamentações de privacidade
Muitos respondentes não sabem dizer se a empresa em que trabalham precisa ou não estar em conformidade com regulamentações de privacidade, vale lembrar aqui que a LGPD (Lei Geral de Proteção de Dados) diz que todas as empresas, independente do porte ou setor, que usam dados pessoais, devem estar em conformidade.
Na pesquisa, 6 em cada 10 pessoas indicaram não saber se a empresa precisava ou não atender a qualquer requerimento do tipo, isso quase um ano após a implementação da GDPR na Europa.
Os comportamentos que mais causam risco à sua empresa
A pesquisa da Osteman Research classificou cada uma das respostas dos participantes em 17 categorias para determinar, a depender do nível de conscientização, quais delas causavam mais risco para a empresa. Os sete principais comportamentos dos usuários que causam maior risco são:
- Capacidade de identificar dados pessoais
- Segurança de usuários privilegiados
- Consciência sobre o que é phishing e engenharia social
- Privacidade por design
- Prontidão para as novas regulamentações de privacidade (GDPR e LGPD)
- Uso seguro de dispositivos pessoais para o trabalho
- Uso de nuvem
