Como já sabemos, o Instituto SANS (sigla para System Administration, Networking and Security) é simplesmente a maior autoridade do planeta quando o assunto é conscientização em segurança da informação. Basta lembrar que foi ela a responsável por criar o respeitado Modelo de Maturidade de Conscientização em Segurança, que é usado para mensurar o quão avançado está o seu programa de human risk reduction.
No último dia 30, às vésperas de seu congresso “Managing Human Risk Summit 2024” — no qual nossa CEO esteve presente —, a organização resolveu enfim publicar a edição deste ano de seu tradicional Security Awareness Report, que traz um panorama global a respeito de como as empresas estão educando o fator humano ao redor do mundo, tal como seus desafios e oportunidades.
O documento traz alguns insights bem interessantes, especialmente se compararmos os números com os do report anterior. Não mudou muito, porém, o nível de maturidade geral dos programas: após entrevistar cerca de mil profissionais da área, a SANS constatou que, tal como em 2023, a maioria (425) dos respondentes afirmam que seu programa está na fase de Promoção de Conscientização e Mudança Comportamental.
Caso você não se lembre, este é o terceiro dos cinco níveis do Modelo de Maturidade, e é o mínimo ideal que devemos almejar, com ações contínuas e periodicamente revisadas. Preocupa o fato de que 181 dos entrevistados ainda estão na fase de Focado em Compliance, no qual o treinamento é mínimo apenas para atender as necessidades de conformidade legislativa. Em 37 das entrevistas, um programa sequer existe na empresa.
O que tira o sono dos especialistas?
Dentre os riscos associados ao fator humano que mais preocupam os profissionais, os quatro principais que se destacam são:
- Engenharia Social: a fragilidade do comportamento humano perante táticas de persuasão em campanhas de phishing, vishing, smishing e outros golpes clássicos que envolvem a manipulação emocional. Esta continua sendo a maior preocupação quando o assunto é capacitação do fator humano;
- Senhas e Autenticação: como de praxe, também já era de se esperar que a má gestão de senhas — como uso de passwords repetidas e/ou fracas — também figura em uma posição de destaque entre as preocupações dos profissionais de conscientização;
- Detecção e Resposta: mais do que simplesmente ser capaz de identificar ameaças no ambiente de trabalho, os especialistas estão quebrando a cabeça a respeito de como incentivar os colaboradores a reportar atividades suspeitas, transformando-os em verdadeiros sensores que ajudam no ecossistema de proteção à informação;
- Inteligência Artificial: um ponto interessante que demonstra como tal tecnologia já está presente no cotidiano profissional. É a primeira vez que a I.A. aparece como um risco preocupante no relatório, com profissionais não sabendo como lidar a respeito da conscientização de seu uso apropriado no ambiente corporativo.
Entre outras preocupações, temos ainda o uso indevido de redes sociais, a computação na nuvem e o trabalho remoto.
Falta de tempo e equipe: o maior desafio
Mas, no fim das contas, para quem — ou para o quê — podemos apontar o dedo como principal responsável pelos programas de conscientização estarem “travados” no mesmo nível de maturidade de 2023? Bom, o principal culpado, de acordo com 41% dos entrevistados, é simplesmente a falta de tempo. Esse fator vem diretamente acompanhado do segundo colocado, com 37% dos respondentes: falta de equipe.
Todos sabemos que os times de segurança da informação são diminutos e altamente atarefados. Falta mão-de-obra especializada para cobrir adequadamente todos os pontos das operações de proteção. Como a conscientização continua sendo deixada um pouco de lado pela alta gerência, esses profissionais acabam não tendo o tempo necessário para se dedicar a criar ações, estratégias e jornadas educacionais adequadas.
Falta de orçamento (29%), parcerias fracas (18%), falta de suporte da liderança (17%) e falta de engajamento dos próprios colaboradores (17%) também foram apontados como "pedras no sapato" que impedem a caminhada dos programas de conscientização.
Quem mais atrapalha?
Outra estatística inédita que podemos encontrar no Security Awareness Report deste ano é o fato de que Gestores de Nível Médio foram apontados por 246 entrevistados como os principais bloqueios nos avanços dos programas de conscientização. Focados em fazer seus respectivos times cumprirem metas e produzirem mais, eles estariam atrapalhando o bom andamento das ações educacionais, mesmo que elas sejam pontuais.
Os Gestores de Nível Médio têm atrapalhado mais do que aquele que, historicamente, sempre ocupou o primeiro lugar, mas que desta vez ficou com a medalha de prata: o departamento Financeiro (apontado por 205 dos respondentes). Temos em seguida “Outros” (193), Operações (170), Comunicações/Branding (134) e Recursos Humanos (124).
A Eskive resolve para você!
O SANS 2024 Security Awareness Report é extenso e detalhado — caso deseje, pode obtê-lo na íntegra (em inglês) neste link. Contudo, as informações que resumimos neste artigo já trazem algumas percepções interessantes sobre os desafios na conscientização do fator humano — e o principal deles é, sem dúvida, a falta de tempo e de equipe para garantir que as ações educacionais sejam aplicadas adequadamente.
Essa é justamente uma das barreiras que a Eskive vem para quebrar. Nossa plataforma oferece jornadas educacionais automatizadas e sem onerar a sua equipe — basta “encaixar” os módulos de aprendizagem e simulações de ataque de acordo com a sua necessidade no cronograma e deixar o resto com os nossos especialistas. Falta de tempo e de mão-de-obra especializada não vão ser mais uma preocupação.
Quer saber mais? Converse com nossos especialistas e saiba mais como a Eskive está ajudando empresas a reduzir o risco humano com facilidade!
