Na maioria das empresas os profissionais responsáveis pela política de segurança estão mais preocupados em evitar ou reduzir os riscos, esquecendo-se de um fator fundamental que é a educação dos usuários nesta matéria. O que acontece é que o problema pontual pode ser resolvido, mas vai continuar faltando um trabalho de conscientização dos funcionários sobre os procedimentos que devem realizar para evitar que eles próprios tornem-se o ponto vulnerável da política de segurança da companhia.
Pesquisa recente realizada pela consultoria Accenture em conjunto com a HfS Research com 208 profissionais de segurança mostrou que 69% deles tiveram os dados de suas empresas atacados nos últimos 12 meses por pessoas que fazem parte do público interno. Estudos destacam que mesmo sendo menos frequentes do que ameaças externas, os ataques internos no geral representam um risco bem maior às companhias. Ou seja, quando a política de segurança é quebrada, quer acidentalmente ou intencionalmente, os danos causados ao negócio costumam ser maiores.
Políticas ineficazes
Outro dado surpreendente de pesquisa realizada pelo SANS Institute mostrou que cerca de um terço das organizações declaradamente ainda não têm capacidade para prevenir ou deter incidentes, como phishing ou ataques internos. E questionados sobre a eficiência dos métodos de prevenção da empresa, apenas 9% dos ouvidos os consideram bastante eficazes, enquanto 36,4% da amostra considera que os métodos hoje em prática não trazem o resultado esperado. A estatística é reforçada por pesquisa do Mimecast na qual 45% dos executivos de TI admitem que estão mal preparados para lidar com ataques maliciosos via email.
A educação como algo essencial à segurança das empresas foi um dos pontos chave do Black Hat 2016, evento mundial especializado em segurança realizado em agosto, em Las Vegas. Palestrantes destacaram a necessidade de uma comunicação maior entre os profissionais que criam as políticas de seguranças das empresas e os usuários de forma a entender melhor suas experiências para que educação e políticas de segurança possam ser adaptadas à maneira como as pessoas trabalham.