Segundo dado do State of Cybersecurity Trends de 2022, relatório da Arctic Wolf Networks, nove em cada dez ataques cibernéticos têm como alvo os colaboradores de uma organização. Neste cenário, a conscientização em Segurança da Informação foi o foco principal do RNPSeg 23, que aconteceu em Brasília, no dia 30 de agosto.
Exclusivo presencialmente para gestores e especialistas em Cibersegurança e com transmissão online, o RNPSeg é promovido pelo CAIS, a área de Inteligência em Cibersegurança da RNP. Ressaltando a necessidade de abordar a segurança cibernética de forma educativa para os colaboradores de organizações, o RNPSeg 23 teve como tema “Fator humano: conscientização para combater ameaças cibernéticas”.
Entre os palestrantes estavam Alex Amorim, fundador e presidente do IBRASPD e CISO da Claro, Anchises Moraes, líder de Threat Intelligence da Apura, Jeferson D’addario, fundador e CEO do Grupo Daryus, Marcelo Lau, diretor na Data Security e coordenador na FIAP, e Renato Opice Blum, advogado e economista e professor. Os convidados trouxeram perspectivas valiosas sobre a importância da conscientização em instituições públicas e privadas.
Alex Amorim iniciou o evento destacando a evolução das tecnologias para afirmar que a conscientização se tornou crucial em um mundo cada vez mais conectado. “Quando a gente pensa na segurança, muitas empresas acabam fazendo para ‘passar de ano’. Alguns profissionais de segurança ainda não têm o objetivo de impactar a vida das pessoas. Porém, a gente precisa começar a trazer as pessoas para o centro de tudo. Sair do lado de simplesmente cumprir uma política corporativa para mostrar a importância de criar práticas mais seguras no ambiente digital”, ressaltou.
Phishing e golpes que usam engenharia social continuam a impactar negativamente a vida de pessoas dentro e fora da rotina de trabalho. Esses golpes se disfarçam como comunicações legítimas, explorando a confiança e a falta de conhecimento das vítimas, ou usam de urgência ou sensacionalismo para tornarem suas mensagens mais atraentes. Para prevenir esses ataques, a educação cibernética é a solução.
Marcelo Lau levantou o impacto do conhecimento na mudança de comportamento de usuários online. “Eu, como acadêmico, costumo dizer que o conhecimento transforma. Não adianta fazermos uma série de ações no ambiente coorporativo, nas tecnologias, se repetidamente o resultado é o mesmo. Temos que mudar nossas técnicas e nossa visão, pensando no comportamento do usuário frente às ameaças e golpes online”, declarou.
Durante o evento, Jeferson D’addario ainda complementou que a conscientização em segurança precisa impactar o colaborador para além da sua vida no trabalho e chegar em sua família. “O perímetro de segurança de uma empresa, a gestão da segurança, é tão importante quanto gestão financeira e gestão de RH. Nossa missão precisa ser que nossa mensagem chegue até a ponta do dedo do filho do funcionário. A gente tem que levar educação para o filho daquela pessoa. Muito se fala sobre inclusão digital, mas estamos falando em segurança? Toda estatística é reflexo dessa falta de preparação”, levantou.
Anchises Moraes acrescentou, falando que a falta de investimento em Segurança da Informação em muitas empresas torna a viabilidade de planos de conscientização mais complexa e difícil. “A grande maioria das organizações mal tem uma equipe de segurança. Raramente, tem uma pessoa que se preocupa com conscientização”, explicou.
Quanto à questão legal, um dos comentários de Renato Opice Blum, especialista em direito cibernético, disse respeito ao uso de sanções para que a Segurança da Informação seja levada como uma questão mais séria e alarmante.
“Pelo menos 95% dos golpes online poderiam ter sido evitados se as vítimas tivessem tomado alguma ação diferente. É um índice muito alto. Todo mundo concorda que tem que educar, que conscientização envolve todo mundo, mas o fato é que a situação não está melhorando. Trago a analogia do cinto de segurança. Muita gente não usou durante um tempo, mesmo sabendo da sua importância, porque incomodava. Porém, quando passou a existir uma sanção, uma multa, a imposição legal gerou a prática mais segura”, comparou.
O evento RNPSeg 23 deixou claro que a conscientização não é apenas uma medida preventiva, mas também uma estratégia inteligente para proteger os ativos e a reputação das empresas. Neste cenário de crescentes ameaças cibernéticas, a mensagem é: os colaboradores não são o elo mais fraco na segurança da informação, eles são a primeira linha de defesa, e a conscientização é a chave para fortalecer essa linha.