Embora as empresas tenham que enfrentar vazamentos de dados de funcionários, mais da metade delas (53%) prefere não divulgar esses incidentes publicamente. Por outro lado, as equipes são carentes de conhecimentos básicos sobre cibersegurança para se proteger, pois apenas 54% das companhias oferecem treinamentos de conscientização. Estas são algumas das conclusões da edição deste ano do estudo Employee Wellbeing, realizado pela consultoria de cibersegurança Kaspersky
Uma estratégia eficiente de segurança empresarial é impossível sem a educação de todos os funcionários. A tecnologia é importante para evitar incidentes, mas o fator humano desempenha um papel crucial, estando vinculado a 85% dos ciberincidentes. Nesse contexto, a pesquisa oferece informações valiosas para a tomada de decisão sobre como as organizações e funcionários colaboram e protegem seus clientes e uns aos outros.
Na maioria dos países pesquisados, as violações estão mais associadas ao roubo de informações de clientes. Porém, os resultados do relatório no Brasil mostram que os criminosos acabaram tendo acesso principalmente aos dados pessoais dos funcionários. Em 2021, quase metade (47%) das organizações não conseguiram proteger esse tipo de dado – índice superior aos 43% associados aos registros de clientes (43%).
Além disso, o fato de 53% das empresas decidirem não comunicar publicamente uma violação de informações de colaboradores sinaliza que o problema é maior do que parece. Apenas 28% das companhias brasileiras proativamente avisam sobre esses incidentes – índice muito abaixo da média global, que é de 43%. Somam-se a isso os 8% das organizações que tornam a violação pública após o fato ser repercutido na imprensa, o que revela falta de responsabilidade com os funcionários.
“Há um ditado popular que diz: ‘O que os olhos não veem, o coração não sente’. É dessa maneira que a maioria das empresas reage após uma violação. Porém, as pessoas já mudaram e estão mais propensas a dar uma segunda chance para aquelas marcas que foram transparentes e éticas. Essa é a primeira mudança que os donos e as lideranças empresariais precisam ter”, afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
“Nesse novo contexto entre as relações empresas-clientes, a confiança passou a ser uma peça-chave, e eu pergunto: se não há respeito com quem trabalha junto do dono ou da liderança todos os dias, por que um cliente – que não tem o convívio diário com a empresa – deve confiar seus dados a elas? Entender essa conexão permitirá compreender os riscos comerciais e de reputação que uma organização corre ao esconder um incidente de seus trabalhadores e os potenciais impactos disso nos seus clientes. A divulgação proativa demonstra que a empresa está assumindo seu erro e quer ajudar na solução dele e de suas consequências, e é isso que reforçará a transparência e a ética na relação empresa-funcionário-cliente.”
Outra conclusão importante do estudo é que a falta de conhecimento das pessoas sobre incidentes de cibersegurança precisam ser mais bem endereçadas pelas empresas. O relatório mostra que metade (54%) das organizações já implementou programas de educação e de treinamento de segurança para garantir que os funcionários tenham informações essenciais sobre o tema. Por outro lado, quase a metade (41%) delas teve pelo menos um problema relacionado a esses serviços – o que inclui a insatisfação com a alta complexidade dos cursos e a falta de suporte ou experiência por parte do provedor do treinamento.
Um funcionário que não recebe orientação de maneira correta e clara não saberá seguir as novas políticas da empresa. Esse conceito está bem disseminado para quase todas as áreas, mas quando se trata de cibersegurança, parece que as companhias ignoram suas responsabilidades. Tanto que em 2021, a conformidade da equipe e o desafio de lidar com a falta de conhecimento dos funcionários comuns sobre segurança estão entre as três maiores preocupações (com 42%) para as empresas quando se trata dos temas de TI.
Prevenir uma violação requer ações efetivas de todos que interagem com a infraestrutura corporativa e podem ser alvos de potenciais ataques. Para proteger melhor os funcionários, as empresas devem combinar medidas de proteção (via tecnologias e processos) com conhecimento para o fator humano, através de treinamentos de conscientização ou técnicos. Entre as boas práticas de segurança, estão a execução imediata de correções e atualizações disponíveis para o sistema, o uso de criptografia, senhas fortes e autenticação multifator para proteger dados confidenciais e a redução máxima do número de pessoas com acesso a essas informações.