Relatório da KnowBe4 revela falhas na conscientização
Mesmo com o avanço das ferramentas de cibersegurança, o phishing continua entre as principais portas de entrada para ataques contra empresas. Um levantamento da KnowBe4 analisou 67,7 milhões de simulações de phishing realizadas com 14,5 milhões de usuários em mais de 62 mil organizações no mundo. Antes de qualquer treinamento em segurança, 33,1% dos usuários clicam em links ou interagem com mensagens de phishing simuladas.
Este dado mostra que o problema não está apenas na sofisticação dos ataques, mas também em falhas recorrentes dentro das próprias organizações. A KnowBe4 mapeou cinco pontos cegos que ajudam a explicar por que o phishing continua funcionando e como as empresas podem mitigar esses riscos.
Ponto cego 1: Treinamento pontual versus contínuo
O treinamento ainda é tratado como ação pontual em muitas organizações. Quando a conscientização acontece de forma isolada, o impacto tende a ser limitado. Segundo a análise, programas contínuos de treinamento fazem diferença mais concreta. Em 90 dias, a taxa de suscetibilidade ao phishing pode cair cerca de 40%.
A eficácia do treinamento depende da frequência e da relevância do conteúdo. Campanhas únicas não são suficientes para mudar comportamentos arraigados. A integração de simulações regulares e feedback imediato é essencial para reforçar a aprendizagem e manter a vigilância dos usuários.
Ponto cego 2: Cultura de segurança frágil
A cultura de segurança continua frágil em muitas empresas. Mensagens que imitam comunicações internas, como avisos de RH ou de TI, seguem entre as que mais geram cliques nas simulações. Isso mostra como a confiança na rotina corporativa pode ser explorada com facilidade quando segurança não faz parte da rotina corporativa.
Para fortalecer a cultura, é necessário que a segurança seja promovida como responsabilidade de todos, não apenas do departamento de TI. Líderes devem dar o exemplo e integrar a segurança nas conversas diárias, criando um ambiente onde relatar suspeitas é incentivado e valorizado.
Ponto cego 3: Falta de visibilidade sobre o risco humano
Muitas empresas monitoram ameaças técnicas, malwares e vulnerabilidades, mas ainda acompanham pouco o comportamento dos usuários. Métricas como o Phish-prone Percentage (PPP), que mede a probabilidade de funcionários caírem em ataques de phishing, ajudam a trazer esse risco para uma gestão mais concreta.
A falta de métricas claras impede a alocação eficiente de recursos de segurança. CISOs devem adotar dashboards que integrem dados de comportamento humano com indicadores técnicos, permitindo uma visão unificada do risco e facilitando a tomada de decisão estratégica.
Ponto cego 4: Excesso de confiança dos profissionais
O excesso de confiança continua sendo um problema significativo. Muitos profissionais acreditam que saberiam identificar uma tentativa de phishing. Mas os dados mostram outra realidade: antes do treinamento, aproximadamente um terço dos usuários ainda interage com mensagens simuladas.
Este viés de autoavaliação pode levar a uma falsa sensação de segurança. Programas de treinamento devem incluir cenários realistas e desafiadores que testem a capacidade de detecção dos usuários, ajudando a corrigir percepções equivocadas e a melhorar a resiliência geral.
Ponto cego 5: Dependência excessiva de tecnologia
Filtros de e-mail e outras camadas de proteção seguem sendo fundamentais, mas não impedem todos os ataques. Quando uma mensagem maliciosa chega à caixa de entrada, a decisão do usuário passa a ser crítica. A tecnologia deve ser vista como uma camada de defesa, não como a única solução.
A combinação de ferramentas técnicas com conscientização humana é a abordagem mais eficaz. Investir em soluções de segurança que integrem análise comportamental e inteligência artificial pode ajudar a reduzir a carga sobre os usuários, mas a vigilância humana permanece indispensável.
Impacto e redução de risco
Segundo a KnowBe4, programas contínuos de treinamento e conscientização podem reduzir o risco de phishing em até 86% após um ano. Para a empresa, isso reforça que o comportamento humano precisa ser tratado como parte central da estratégia de cibersegurança.
A implementação de um programa de segurança baseado em dados e focado no comportamento do usuário é essencial para proteger as organizações contra ameaças persistentes. A colaboração entre equipes de segurança, RH e liderança é fundamental para o sucesso dessas iniciativas.
Recomendações para CISOs
Para mitigar os pontos cegos identificados, CISOs devem priorizar a educação contínua, a medição de métricas de risco humano e a integração da segurança na cultura organizacional. A adoção de plataformas de treinamento adaptativo e a realização de simulações regulares são práticas recomendadas.
A transparência nos resultados e a comunicação clara sobre os riscos ajudam a engajar os colaboradores. A segurança deve ser vista como um habilitador de negócios, não como um obstáculo, promovendo uma postura proativa em toda a organização.