Skip to content
Human Risk

Security Awareness: como (e porquê) o setor deve evoluir

Novas ameaças e novas tecnologias de segurança da informação também exigem uma abordagem moderna no gerenciamento do risco humano

human risk management: como (e porquê) o setor deve evoluir
Ramon de Souza

Ramon de Souza

Journalist | Author | Speaker | Information Security Specialist | ANPPD® Member |

5 min de leitura 


Embora seja clichê, é necessário lembrar: o crime cibernético evolui a cada dia. Ao longo dos últimos anos, presenciamos os atores maliciosos se tornando cada vez mais organizados, construindo sindicatos e oferecendo ataques no modelo “como serviço”. Já temos ransomware-as-a-service, fraud-as-a-service e até ferramentas por assinatura que usam machine learning para ajudar um golpista a criar uma armadilha convincente.

Em outras palavras, hoje em dia, qualquer pessoa má-intencionada pode realizar ataques com um investimento mínimo — mesmo sem habilidades técnicas para tal.

Claro, o mercado de cibersegurança felizmente está sendo capaz de responder em tempo hábil. Contamos com uma série de novas ferramentas e soluções que também estão em constante evolução. Vide arquiteturas e conceitos como zero trust, IAM/CIAM, xDR, CASB, NGFW e derivados. Porém, no jogo da segurança da informação, há uma peça fundamental do quebra-cabeças que se estagnou e precisa urgentemente de uma evolução.

Sim, estamos falando de security awareness — os famosos programas de conscientização em segurança.

human risk management Conscientização: o “patinho feio” da segurançaConscientização: o “patinho feio” da segurança

Historicamente menosprezados e subfinanciados, os programas de conscientização sempre amargaram com as migalhas do orçamento de segurança da informação. Os motivos são diversos: falta de compreensão quanto ao real impacto do fator risco humano, escassez de profissionais com as soft skills necessárias para administrar um programa educacional e até mesmo a mentalidade retrógrada de que “a tecnologia deve fazer todo o trabalho pesado”.

Além disso, visto que é mais difícil calcular o retorno sobre o investimento (ROI) de ações de security awareness, sempre foi mais difícil convencer a alta diretoria sobre a importância de tal campo. O resultado dessa negligência é refletido em números: de acordo com pesquisas recentes do World Economic Forum (WEF), 95% dos vazamentos de dados são causados pelo fator humano, seja ele intencional ou não.

Mesmo com o estabelecimento de frameworks e normas que exigem a existência de um programa interno de conscientização dos colaboradores (são mais de 8,5 mil ao redor do mundo, sabia?), o setor não evoluiu junto com outros recursos de crimes contra a informação. Permanecemos no mesmo ciclo de treinamentos morosos, questionários simples e simulações simples de phishing. Chegou a hora de ir além.


Gerencie o risco, crie uma cultura

É com essa visão de futuro que necessitamos não apenas de mais uma simples plataforma de conscientização, mas sim uma solução de human risk management — ou gerenciamento de risco humano, se assim preferir. O objetivo não é simplesmente prover material didático, mas sim oferecer uma visão holística do comportamento de todos os integrantes de uma empresa, permitindo ajustes finos na criação de uma cultura de segurança centrada em pessoas (human-centric security).

Isso é possível graças a uma metodologia proprietária orientada a dados, apresentados de forma amigável e compreensível, que proporciona maior visibilidade sobre os pontos fortes e fracos na primeira linha de defesa contra os atores maliciosos. Na Eskive, por exemplo, é possível até mesmo observar uma evolução cronológica das métricas MEE (Média de Engajamento Educacional) e MCI (Média de Comportamento Inadequado).

A abordagem de human risk management traz diversas vantagens:

Criação de uma cultura de segurança verticalizada: em concordância com a tendência de mercado, a segurança da informação está finalmente deixando de ser “coisa da TI” e pousando nas pautas do board. A alta diretoria e os gestores estão entendendo a criticidade do tema e que precisam fazer sua parte em um esforço conjunto, e não “top-to-down”, para proteger a informação;

Escalada de responsabilidades para setores: a partir do momento em que é possível identificar que departamento X ou Y está mais propenso do que outros a cometer erros que geram riscos, é possível alocar recursos e responsabilidades para os gestores dessas respectivas áreas;

Ajuste de estratégia em tempo real:
o crime contra a informação não espera. Obtendo análises rápidas sobre o que é ou não eficaz, tal como os tipos de ataques contra os quais as equipes estão mais suscetíveis, é possível realizar ajustes imediatos na estratégia de educação.

human risk management
Novos tempos exigem novas estratégias

Como dissemos no início deste artigo, novas ameaças e novas tecnologias exigem novas abordagens de conscientização em segurança da informação. Na Eskive, também estamos evoluindo constantemente para oferecer uma solução que acompanhe as inovações técnicas, auxiliando as equipes de segurança e as empresas a irem além do óbvio. 

Conte conosco para desenvolver uma cultura security-first!

Últimos artigos

Setor financeiro: cresce pressão por maior segurança cibernética

Setor financeiro: cresce pressão por maior segurança cibernética

Aumento no número de fraudes no setor bancário vem acompanhado de incidentes cibernéticos preocupantes e um “pente fino” aplicado pelo Banc...

Dia Mundial do Backup 2024: proteja as suas informações!

Dia Mundial do Backup 2024: proteja as suas informações!

Neste dia 31 de março, comemore a Páscoa, mas não se esqueça de criar cópias de segurança de suas informações! Saiba mais sobre a data e a ...

Eskive e FIEMG Lab: definindo o futuro da cibersegurança nas indústrias

Eskive e FIEMG Lab: definindo o futuro da cibersegurança nas indústrias

Pioneira em human risk reduction e programas de conscientização, nossa plataforma foi selecionada para participar do segundo ciclo da quint...