É hora de adotar uma cultura cibernética

O treinamento de segurança cibernética não está tendo eco entre seus empregados? Os resultados da Workforce Pulse Survey da PwC mostram por quê.

Um clique em um link suspeito. Um computador da empresa conectado a um WiFi público sem VPN. Uma senha rabiscada em um post-it e deixada sobre a mesa. 

Esses pequenos erros podem expor as organizações a enormes riscos cibernéticos. Mas, embora a maioria dos empregados esteja ciente da existência de roubos cibernéticos e de outros perigos digitais, nossa última Workforce Pulse Survey mostra que grande parte deles não entende as consequências devastadoras que uma violação de dados ou outro ataque do gênero possa ter para sua empresa, a sociedade – ou até para si mesmos.

A PwC entrevistou mais de 1.100 trabalhadores nos EUA durante a semana de 14 de julho de 2020. Os resultados revelam uma realidade preocupante para os líderes empresariais: a comunicação e o treinamento que eles oferecem sobre inteligência e segurança cibernética não estão repercutindo entre os empregados. A maioria dos trabalhadores tem pouca consciência de como seus empregadores protegem a eles ou à empresa de hackers, ransomware, phishing, entre outros ataques. Em alguns casos, os empregados até mesmo desrespeitam as regras de segurança, baixando aplicativos não seguros ou compartilhando seus dispositivos de trabalho com familiares. 

No momento em que 61% dos diretores de TI e Segurança da Informação dizem ver um crescimento dos riscos do uso de dispositivos e software não corporativos devido ao maior número de pessoas trabalhando remotamente, há uma oportunidade clara para os líderes incorporarem a segurança cibernética na sua agenda mais ampla sobre segurança voltada para os empregados. Os líderes precisam redobrar seus esforços de comunicação e treinamento direcionados, aplicar políticas e adotar controles eficazes. Acima de tudo, eles devem convencer seu pessoal de que bons hábitos de segurança cibernética farão mais do que ajudar a empresa e seus diversos stakeholders – também ajudará a proteger suas vidas no mundo digital, tanto no trabalho quanto em casa.

 

Os empregados estão preocupados com os ataques cibernéticos – mas não tanto quanto deveriam

A maioria dos empregados tem algum nível de preocupação em relação aos perigos dos ataques cibernéticos. Seus temores se concentram mais nos impactos potenciais à privacidade, como a exposição de informações pessoais (número de contribuinte, por exemplo), do que nas consequências para a empresa. Mas apenas 22% estão muito preocupados com a perda financeira pessoal ocasionada por um ataque, e somente 15% dizem que estão muito preocupados com a exposição de seus e-mails.

Alguns empregados podem simplesmente supor que sua empresa adota medidas robustas para proteger suas informações. Na verdade, 75% dos entrevistados dizem que confiam em seu empregador mais do que em empresas de tecnologia para manter suas informações pessoais seguras. Mas eles podem não estar cientes de que muitos ataques a organizações não têm necessariamente como alvo a empresa. Na verdade, eles se concentram em roubar dados de empregados, como informações sobre salário e aposentadoria, estado de saúde e outras informações pessoais.

Os empregados e seus dispositivos se tornaram a principal porta de entrada para incidentes e violações cibernéticas nos últimos anos –por meio de engenharia social, malware ou hacking. O custo das violações é assumido tanto por indivíduos quanto por empresas. Portanto, a comunicação e o treinamento devem incluir informações que ajudem os empregados a compreender as implicações que os ataques cibernéticos podem ter para eles e para a empresa.

Destacar os riscos sociais mais amplos também pode ajudar. Os efeitos de um único ataque cibernético bem-sucedido podem ir muito além da empresa para prejudicar cidadãos e comunidades. Contas de mídia social confiscadas, campanhas de desinformação, dados de consumidores comprometidos, fraudes fiscais e sistemas governamentais sequestrados por cibercriminosos e agentes a serviços de governos corroem a confiança do público e podem causar danos permanentes.

 


Impactos na empresa
Preocupados ou fortemente preocupados


Perda financeira para a empresa
%
Perdas para outros stakeholders
%
Divulgação pública de meus e-mails
%
Perda de propriedade intelectual da empresa
%
Danos à marca e à reputação da empresa
%

Impactos pessoais
Preocupados ou fortemente preocupados


Exposição de dados pessoais para terceiros
%
Impactos na minha carreira
%
Perda financeira pessoal devido ao acesso não autorizado a dados de pagamento ou aposentadoria
%
Incapacidade de trabalhar e produzir
%
Acesso não autorizado aos meus dados de saúde
%

Fonte: PwC Workforce Pulse Survey
14 a 16 de julho de 2020. Base: 1.071
P: Qual é seu nível de preocupação com a ocorrência de cada uma das situações a seguir como resultado de violações de dados pessoais e da empresa no trabalho?

As medidas de segurança que você está tomando não estão conectadas com seu pessoal

Mesmo antes da pandemia de Covid-19, os líderes estavam investindo em medidas de segurança destinadas a prevenir ataques cibernéticos e melhorar a inteligência cibernética, oferecendo, inclusive, mais treinamento para toda a força de trabalho. Quase 70% dos diretores de TI e Segurança da Informação dizem que aumentaram o treinamento de segurança como resultado da Covid-19. Por outro lado, apenas 30% dos empregados afirmam que seu empregador ofereceu treinamento sobre o que fazer e o que não fazer para proteger ativos digitais, dados e informações pessoais e da empresa.

Menos de um terço afirma que seu empregador forneceu dispositivos para que eles pudessem trabalhar fora do escritório sem ter que usar seus dispositivos pessoais. E apenas 23% dizem que sua empresa apresentou argumentos sólidos sobre a necessidade de os empregados terem bons hábitos de segurança de dados. Enquanto isso, diretores de TI e Segurança da Informação relatam fortes impactos positivos dos investimentos na proteção do trabalho remoto (como autenticação de empregados que acessam suas redes e gerenciamento de dispositivos móveis e outros equipamentos externos à rede corporativa) e em inteligência e detecção de ameaças em tempo real.

É verdade que algumas dessas medidas, como o monitoramento de possíveis ataques, ocorrem nos bastidores, fora das atividades diárias da maioria dos empregados. Isso ajuda a explicar por que os empregados talvez não tenham ciência dos acidentes que são evitados pelas equipes de segurança todos os dias, já que apenas algumas grandes violações ganham amplo destaque. Mas a falta de consciência sobre táticas de proteção mais visíveis, como políticas avançadas ou treinamento adicional, indica que os esforços feitos pelos líderes para aumentar os conhecimentos cibernéticos de seus empregados simplesmente não estão encontrando eco.

 


Empregados desconhecem as medidas de segurança da empresa


Solicitou autenticação da minha identidade para que eu pudesse acessar redes/dados corporativos
%
Ofereceu treinamento sobre proteção de ativos digitais, dados e informações
%
Forneceu dispositivos para trabalho fora do escritório
%
Reforçou políticas no caso de um problema de segurança
%
Apresentou argumentos sólidos sobre a necessidade de bons hábitos de segurança de dados
%
Aprovou o uso de novo software ou novos aplicativos
%
Rastreou possíveis ataques para reduzir minhas chances de ser uma vítima
%
Permitiu que meus dispositivos pessoais acessassem redes e dados corporativos
%
Reduziu interrupções ou longos períodos de espera para conexão a redes e dados corporativos
%
Fez monitoramento para saber se estou armazenando ou enviando informações relacionadas ao trabalho em meus dispositivos pessoais
%
Enviou pop-ups com dicas de conscientização sobre segurança cibernética
%

Fonte: PwC Workforce Pulse Survey
14 a 16 de julho de 2020. Base: 1.071
P: Você tem conhecimento se o seu empregador tomou alguma das seguintes medidas para proteger dados pessoais e da empresa antes ou depois do início da pandemia? Marque todas as opções aplicáveis.

Geração do milênio e geração Z confundem os limites

Em geral, a maioria dos empregados pesquisados afirma que age para se proteger de riscos cibernéticos, como usar seus dispositivos e os aplicativos aprovados pela empresa apenas para trabalhar. Mas alguns empregados – especificamente os da geração do milênio e os da geração Z – podem estar aumentando os níveis de risco de suas organizações. A pesquisa da PwC descobriu que esses dois grupos são mais propensos a permitir que amigos e familiares usem seu computador de trabalho para jogos, compras on-line ou outras atividades pessoais. Mais da metade (51%) dos integrantes da geração do milênio e 45% dos que estão na geração Z dizem usar aplicativos e programas em seus dispositivos de trabalho que o empregador proibiu expressamente.

O que causa essa divergência? Talvez esses dois grupos vejam as restrições de segurança como incômodas e excessivas – ou simplesmente desejem usar aplicativos que facilitam o trabalho, mesmo que eles não sejam aprovados pela empresa. Os empregados querem ter no trabalho a mesma experiência tecnológica rápida, conveniente e sem atritos que têm em suas vidas pessoais. Mas a experiência do usuário quando se trata de tecnologia corporativa nem sempre é tão perfeita. E com tantos profissionais trabalhando de casa, a necessidade de dispor de aplicativos e programas confiáveis e fáceis de usar que possibilitem colaboração, criatividade e comunicação nunca foi tão grande.

 


Alguns grupos podem apresentar riscos


Todos os respondentes
Geração do milênio
(idades 24-39)
Geração Z
(idades de 18 a 23)
Eu deveria poder correr mais riscos com novos aplicativos em troca de maior facilidade de uso
%
%
%
Considero incômodo e restritivo cumprir todas as diretrizes de segurança da minha organização
%
%
%
Uso em meus dispositivos de trabalho programas e aplicativos populares que meu empregador pediu expressamente para não usar
%
%
%
Deixo minha família ou amigos usarem meus dispositivos de trabalho
%
%
%
Uso meus dispositivos e aplicativos aprovados pela empresa somente para trabalhar
%
%
%

Fonte: PwC Workforce pulso Pesquisa
julho 14-16, 2020. Base: 1.071­
P: Quanto você concorda ou discorda de cada uma das seguintes afirmações?
Respostas: Concordo ou concordo totalmente.

 

 

Empregados temem retaliação por levantarem risco de segurança

Erros acontecem, e os hackers continuam a encontrar novas maneiras de invadir os sistemas corporativos. Mesmo as medidas de segurança mais rigorosas não conseguem impedir que todos os empregados respondam acidentalmente a um e-mail de phishing ou visitem um site que acesse secretamente os sistemas da empresa. É fundamental que os empregados alertem seus empregadores o mais rápido possível quando surgir um problema, mas a maioria diz que não se sente confortável para fazer isso. Apenas 26% dos entrevistados concordam fortemente que podem relatar um incidente de segurança causado por eles sem medo de represálias. 

É importante reforçar para os empregados que eles não precisam ter medo de levantar um risco de segurança. Avalie a implementação de uma política de tolerância zero contra represálias ou a criação de um canal para que as pessoas relatem riscos de segurança anonimamente. Quanto mais dispostas as pessoas estiverem a informar um risco, mais rápido você poderá identificar e conter os estragos. 

 

Empregados relutam em informar riscos
Empregados relutam em informar riscos
Fonte: PwC Workforce Pulse Survey
14 a 16 de julho de 2020. Base: 1.071
P: O quanto você concorda ou discorda da afirmação a seguir? Posso relatar ao meu empregador um incidente de segurança possivelmente causado por mim sem temer represálias.

Plano de ação para diretores de RH, TI e Segurança da Informação

  • Proteja a vida digital de seus empregados. Você estará não apenas protegendo os ativos da empresa, mas também os empregados, stakeholders e a sociedade. Aproveite a confiança que seus empregados têm em você. 

  • Converta-se em modelo de bons hábitos cibernéticos. Aumente as expectativas de que a sofisticação tecnológica e digital inclua uma forte inteligência cibernética.

  • Eleve a inteligência cibernética de seu programa de aprimoramento digital. Conceda certificações ou selos que possam ser reconhecidos no mercado de talentos. Incentive aqueles que são “certificados” a se tornarem embaixadores para ajudar outras pessoas a desenvolver sua inteligência cibernética.

  • Crie incentivos e recompensas para bons hábitos cibernéticos e comportamentos de conformidade cibernética. Avalie o uso de técnicas de gamificação que comprovadamente reforcem o aprendizado contínuo.

  • Ajuste suas mensagens, a comunicação e os treinamentos de conscientização de forma que reflitam as preocupações dos empregados com perdas pessoais, em vez de focar nas implicações para a empresa.

  • Considere a experiência do usuário ao escolher a tecnologia e elaborar políticas. Envolva os empregados para obter a opinião deles, especialmente sobre aplicativos novos ou rápida evolução. Quanto melhor for a experiência para seus empregados, menor será a chance de eles baixarem aplicativos ou programas substitutos capazes de oferecer riscos.

  • Aproveite controles de segurança modernos usando técnicas poderosas, como confiança zero (indo além de simplesmente proteger o perímetro) e detecção e resposta em tempo real, que se baseiam em ciência comportamental e IA.

  • Avalie oferecer gestão de roubo de identidade aos empregados como parte de sua estratégia de benefícios.

Sobre a Workforce Pulse Survey da PwC

A PwC realizou uma pesquisa on-line com 1.118 adultos residentes nos EUA entre 14 e 16 de julho de 2020. A PwC Workforce Pulse Survey é feita periodicamente para detectar mudanças nas opiniões e prioridades dos empregados. 

 

Contatos

Edgar  D'Andrea

Edgar D'Andrea

Sócio, PwC Brasil

Tel: +55 (11) 3674 2000

Siga-nos