A situação de segurança nas empresas alemãs está cada vez mais ameaçada por funcionários descuidados e criminosos. Um estudo intitulado "Cybersecurity in Germany: Better protection of people and data" revela as muitas formas de má conduta exibidas por funcionários em empresas alemãs.
Em 41% das empresas pesquisadas, seus próprios funcionários negligentes ou descuidados foram a causa da perda de dados nos últimos 12 meses. Por exemplo, eles abriram anexos de e-mail infectados com malware, acessaram sites falsos e preencheram formulários online falsos ou divulgaram informações confidenciais. Em 30% dos casos, funcionários com intenções maliciosas ou criminosas foram a principal causa da violação de dados sofrida.
O treinamento não é suficiente
“82% das organizações pesquisadas realizam um programa de treinamento contínuo para aumentar a conscientização dos funcionários sobre as ameaças à segurança cibernética”, comenta Bert Skaletski, da Proofpoint. “Esses cursos de treinamento são uma parte essencial de qualquer estratégia promissora de segurança de TI. Você pode reduzir significativamente o risco de funcionários ignorantes ou descuidados e alertá-los sobre os perigos do phishing, por exemplo. No entanto, o treinamento por si só não pode fornecer proteção adequada contra funcionários com intenções desonestas. Em vez disso, as empresas devem tomar medidas técnicas para neutralizar atividades maliciosas ou criminosas. Este estudo deixa claro que há uma falta significativa de tais medidas. Apenas 51% das empresas pesquisadas possuem tecnologia para combater especificamente o risco interno e apenas 44% têm um plano específico para responder a ameaças internas.”
Leve o fator humano a sério
De acordo com o Relatório de Riscos Globais do Fórum Econômico Mundial de 95, 2022% dos ataques cibernéticos bem-sucedidos só são possíveis pela ação humana. As pessoas são, portanto, o alvo mais importante para os cibercriminosos que desejam prejudicar as empresas. E na maioria dos casos, os criminosos não invadem nada. Você é deixado entrar por um clique acidental ou uma senha reutilizada. 82% das empresas agora estão abordando esse problema com programas de treinamento em segurança cibernética. No entanto, eles ainda não estão fazendo o suficiente contra funcionários mal-intencionados, embora ex-funcionários tenham levado dados confidenciais com eles em 24% das violações de dados. Na era do trabalho moderno, ou seja, independentemente de onde você esteja, esses casos são particularmente difíceis de controlar e conter. Sem o perímetro de rede tradicional, a antiga abordagem de segurança de dados simplesmente não funciona mais. As organizações precisam investir em proteção de informações e soluções de risco interno que protegem a borda da rede moderna, desde o endpoint até aplicativos em nuvem, e-mail e web.
Resultados do estudo central
O estudo fornece uma série de outras descobertas reveladoras:
- Em 41% das empresas pesquisadas, seus próprios funcionários negligentes ou descuidados foram a causa da perda de dados. Existem diferenças claras dependendo do tamanho da empresa: em grandes empresas com mais de 5.000 funcionários, esse problema ocorre com muito mais frequência (52%) do que em empresas com 1.000 a 2.000 funcionários (34%).
- Todos os bancos e seguradoras pesquisados conscientizam seus funcionários com um programa de treinamento contínuo sobre o tema segurança cibernética. Por outro lado, apenas cerca de 59% das empresas de varejo executam esse programa.
- Clicar em links maliciosos (46 por cento) e baixar anexos e arquivos desconhecidos (41 por cento) são os comportamentos mais comuns dos funcionários que levam a incidentes de segurança de TI.
- Outros comportamentos de alto risco dos funcionários incluem o uso de mídia USB desconhecida (30%), compartilhamento de credenciais com outras pessoas (27%), compartilhamento de dispositivos da empresa com familiares e amigos (22%) e conexão com redes Wi-Fi públicas ou privadas não seguras (20 porcento).
- Atualmente, as empresas alemãs estão treinando seus funcionários em vários tópicos relevantes de segurança de TI. Mais de dois terços (68 por cento) das organizações incluem proteção de dados em seu treinamento e 56 por cento têm ameaças baseadas em e-mail em seu currículo.
- Considerando que o e-mail é o vetor de ameaças número um, é surpreendente que ele não apareça com destaque como um tópico no treinamento de conscientização. Em empresas com 1.000 a 2.000 funcionários, ameaças baseadas em e-mail, como phishing e BEC (Business Email Compromise, também conhecido localmente como "CEO fraud") fazem parte do currículo de segurança cibernética de apenas 46%.
- Apenas cerca de 36% das empresas treinam seus funcionários em segurança na nuvem.
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.