Phishing: Um Desafio Persistente para a Segurança das Empresas
O phishing, um tipo de ataque que utiliza mensagens fraudulentas para roubar informações ou instalar malwares, continua sendo uma das principais ameaças às empresas, mesmo com o avanço das ferramentas de segurança. As vulnerabilidades estão frequentemente ligadas ao comportamento humano e à forma como as organizações abordam a segurança, muitas vezes negligenciando a proteção de dispositivos e sistemas.
Um estudo da KnowBe4, especializada em gestão de riscos, revelou que 33,1% dos usuários em simulações de ataques clicam em links ou interagem com mensagens de phishing. Os dados foram obtidos a partir de 67,7 milhões de simulações, envolvendo 14,5 milhões de usuários em mais de 62 mil organizações.
De acordo com Rafael Peruch, consultor técnico CISO da KnowBe4, muitas empresas ainda veem o phishing apenas como um problema tecnológico, quando, na verdade, está intimamente relacionado ao comportamento humano. Ele ressalta que, sem treinamento contínuo e uma cultura de segurança robusta, mesmo as melhores ferramentas podem falhar.
Pontos Cegos que Facilitam o Phishing
A KnowBe4 identificou cinco pontos cegos que explicam por que o phishing continua a ser eficaz:
- Treinamento como ação pontual: A análise indica que programas de treinamento contínuos são essenciais. Em apenas 90 dias, a taxa de suscetibilidade ao phishing pode diminuir em até 40%.
- Cultura de segurança frágil: Mensagens que imitam comunicações internas, como avisos de RH ou TI, são as que mais geram cliques nas simulações, evidenciando a exploração da confiança nas rotinas corporativas.
- Falta de visibilidade sobre o risco humano: Muitas empresas focam em ameaças técnicas, mas monitoram pouco o comportamento dos usuários. Métricas como o Phish-prone Percentage (PPP) ajudam a avaliar esse risco.
- Excesso de confiança: Muitos profissionais acreditam que conseguiriam identificar tentativas de phishing, mas dados mostram que, antes do treinamento, cerca de um terço dos usuários interage com mensagens simuladas.
- Dependência excessiva de tecnologia: Embora filtros de e-mail e outras camadas de proteção sejam essenciais, eles não eliminam todos os ataques. Quando uma mensagem maliciosa chega à caixa de entrada, a decisão do usuário se torna crucial.
Conclusão: A Importância do Comportamento Humano na Cibersegurança
Segundo a KnowBe4, programas contínuos de treinamento e conscientização podem reduzir o risco de phishing em até 86% após um ano. Isso destaca a necessidade de tratar o comportamento humano como um elemento central na estratégia de cibersegurança das organizações.
Fonte por: It Forum