Pensando em como seria meu primeiro artigo para o novo blog do TecSec vi que não poderia escapar de um tema que domina a minha vida desde que comecei atuar na área de cibersegurança: a importância da conscientização.
Durante meus anos como profissional eu aprendi que conscientização não tem a ver (apenas) com transmissão de conhecimento. Isso é um erro corriqueiro nas empresas. Treinamentos e palestras são importantes, mas o conhecimento adquirido precisa se tornar uma rotina, como escovar os dentes ou tomar banho, para realmente ser um processo de conscientização.
Mas vamos dar um passo atrás.
Quando comecei na área de cibersegurança – como analista, lá em 2017 – observei que havia uma grande dificuldade nos times técnicos de traduzir sua linguagem para termos mais entendíveis pelas áreas estratégicas – gestores, compliance, etc. Imagine então como seria traduzir isso para o público em geral!
Essa dificuldade despertou meu interesse pelo tema da conscientização: “como trazer recomendações de segurança, proteção digital, para pessoas que não são especialistas, tampouco lidam com cibersegurança no dia a dia?”
Nessa trajetória encontrei diversos desafios, falta de investimento, visões limitadas sobre o que é conscientização (basta estar em conformidade com a legislação ou com alguma ISO?) entre outros que quero compartilhar com vocês neste artigo.
Espero que no final você entenda a importância dessa disciplina.
Bora conscientizar?
O Fator Humano, elo mais fraco?
Era muito comum ouvir de gestores e profissionais de segurança que as pessoas eram “o elo mais fraco da cibersegurança”. E ainda é.
Apesar de compreender o que isso quer dizer, acho essa frase um tanto equivocada, pode dar a entender que a vítima tem total culpa em um incidente.
Mas o fato é que mesmo com os investimentos em tecnologias de segurança – que crescem a cada ano -, e da constante evolução destas tecnologias, as pessoas continuam sendo o principal alvo do crime cibernético.
Engenharia Social ainda é uma das principais ferramentas do cibercrime
A manipulação das pessoas para obter informações ou acessar sistemas é o método preferido de criminosos que atuam na Internet.
Um relatório da Verizon que investigou a violação de dados apontou que mais 68% destes incidentes aconteceram por fatores humanos como uso de senhas fracas ou reutilizadas e funcionários sendo vítimas de phishing.
Fora do mundo corporativo, a engenharia social também é largamente usada para fazer vítimas. Mensagens falsas por SMS, whatsapp e email, usados para enganar consumidores, são responsáveis por 90% dos crimes cibernéticos, segundo um estudo do Mercado Pago.
IA usada para criar golpes mais convincentes
A chegada da IA viu surgirem golpes ainda mais convincentes, em alguns casos feitos sob medida, para tornar os ataques mais eficazes e difíceis de detectar.
Em 2024 houve um aumento de 44% em ciberataques e vazamento de dados impulsionados, entre outros fatores, pelo uso de IA para geração de deepfakes, golpes mais convincentes usando voz (vishing) e outras modalidades.
Tudo isso mostra como as pessoas são um ponto central quando falamos de segurança.
E essa é a razão porque o tema da conscientização é preocupação de empresas e governos.
Iniciativas Globais de Conscientização em Cibersegurança
No mundo todo, negócios, governos e entidades não governamentais apresentam iniciativas de conscientização para chamar a atenção para os riscos cibernéticos.
Apenas para focar em duas delas. O Mês da Conscientização em Cibersegurança, é uma iniciativa da National Cybersecurity Alliance (NCA) e da Cybersecurity and Infrastructre Security Agency, dos EUA. Neste ano, o tema Stay Safe Online foca em 4 passos simples que qualquer pessoa pode seguir para se proteger de crimes na Internet. Eles são:
- Usar senhas fortes
- Habilitar autenticação multifator sempre que possível
- Atualizar softwares, e
- Aprender a identificar e reportar tentativas de crime online.
O Brasil criou neste ano a Estratégia Nacional de Cibersegurança (E-Ciber) que reconhece a necessidade da proteção de grupos vulneráveis para a inclusão digital e para a resiliência cibernética do país.
E nos negócios?
No mundo corporativo existem inúmeras iniciativas que vão na direção da conscientização para a segurança, todas seguindo mais ou menos o mesmo padrão: treinamentos que fornecem dados quantitativos para medir o risco de um colaborador ser vítima de um golpe.
A maioria dos dados é positiva. Depois de analisar simulações de phishing aplicadas em mais de 14 milhões de usuários, a KnowBe4 – que é especializada nesse tipo de treinamento, demonstrou uma queda de 33% para 4% de cliques em 12 meses.
Esses treinamentos também significam retorno financeiro para as empresas. Outro relatório, da usecure, mostra que em empresas menores (menos de 1000 funcionários), investir em treinamentos traz um retorno de até 69% dos investimentos.
Tudo isso é muito positivo, mas será que é realmente traduzido em conscientização?
A eficácia das iniciativas de conscientização
Vamos voltar a um problema que coloquei no início deste artigo: existe a possibilidade de estarmos equivocados sobre o conceito de conscientização?
Uma das etapas de qualquer processo de conscientização é tornar a pessoa “consciente” da existência de um problema. Despertar nela a sua sensibilidade para o fato de um risco, problema, dor.
E é verdade que os treinamentos são extremamente eficazes neste sentido, as abordagens, os objetivos e a motivação fazem uma enorme diferença entre apenas demonstrar um problema existente e realmente criar motivação para agir de forma segura ou, melhor dizendo, criar uma cultura de segurança, Mas…
O Dilema da Eficácia: então é só passar na prova?
Um estudo recente chamado Anti-Phishing Training Does Not Work realizado por acadêmicos da Universidade de Purdue em um ambiente com 12.511 funcionários, não encontrou um impacto estatisticamente significativo do treinamento na redução de cliques ou no comportamento de relato de e-mails maliciosos.
A crítica é válida? Certamente
Significa que iniciativas como essa (treinamento contra phishing) são inválidas? Que não adianta mostrar para um colaborador a diferença entre um email válido e um phishing? Não é bem assim.
Aqui tem uma diferença que eu penso que seja de objetivo. Qual o objetivo de contratar um treinamento desse tipo. E existem vários motivos, um deles é o que especialistas chamam de Teatro de Conformidade.
Teatro de Conformidade vs. Mudança de Comportamento
Nos últimos anos vimos uma série de leis e regulamentações sendo criadas para proteger os dados de clientes e de empresas. Para se manter no jogo, os negócios precisam estar conformes. E é aí que entra o conceito de Teatro de Conformidade.
Se meu negócio precisa estar conforme com a LGPD ou com uma regulamentação de mercado, eu preciso seguir o que está estabelecido ali. E tem muito negócio que opta apenas por seguir estes requisitos ao invés de focar em uma mudança real de comportamento.
Isso é muito prejudicial, já que funcionários podem entender que treinamentos e cursos são apenas um requisito momentâneo e que, depois de dar o check em uma semana de treinamentos, estão livres para retomar os mesmos comportamentos inseguros. Provavelmente é isso que foi detectado no estudo da Universidade de Purdue.
Minha jornada profissional mostrou que conscientizar é um processo cultural. Para entender um problema e agir ativamente para evitar esse problema, eu preciso sentir as consequências daquele problema na pele.
Mas eaí, Gustavo, o que falta para atingirmos uma cultura de cibersegurança?
Quando eu notei que o tema da conscientização era realmente importante, e isso vai lá no começo da minha carreira na área, eu enxerguei o motivo porquê ela era falha na maior parte dos casos.
Em primeiro lugar, faltavam investimentos. Um único funcionário tinha diferentes atribuições e, entre elas, estava a conscientização. Não tinha alguém dedicado a isso. E eu acho que isso ainda é uma realidade.
Não tem alguém dedicado a entender as pessoas, suas fragilidades em segurança, como aplicar conceitos no cotidiano delas de forma prática. Trazer segurança como algo que faz parte da vida delas, fora do trabalho, 24h, e não só das 9h às 18.
Hoje eu enxergo que essa cultura não pode ser criada se não for conectada com outras áreas além da segurança. É uma questão social, e nesse sentido a comunicação é fundamental porque vamos ter que traduzir a segurança para qualquer público possível, da criança ao idoso.
Nós vamos ter que pensar além do negócio para proteger o próprio negócio. Conformidade, frameworks, isso é apenas uma parte do trabalho de conscientização.
No centro de tudo estão as pessoas, e eu me recuso fortemente a pensar que elas são o elo mais fraco da segurança. Elas têm o potencial para ser nosso maior aliado.
Comunicador com +13 anos em Tecnologia e Cibersegurança, especialista em Governança de Segurança e Conscientização, com atuação em empresas como EBANX e Caju. Fundador do TecSec Podcast e do contocast O Golpe Tá Aí!, unindo abordagem técnica, narrativa e educação em segurança.