Todos nós fazemos aquilo que sabemos que não devemos fazer. Da mesma forma, não fazemos muitas das coisas que sabemos que deveríamos. Isso é comportamento humano. E não é diferente quando se trata de segurança. Um exemplo? MFA: muitos sabem que aumenta a segurança, mas poucos a usam.
Indo além, é preciso pensar que a mente humana opera em todas as etapas da segurança cibernética: por trás de cada violação há uma manipulação calculada e por trás de cada defesa, há uma resposta estratégica desenhada por um ser humano. Ou seja: a psicologia do crime cibernético, a inteligência dos profissionais de segurança e os comportamentos dos usuários se combinam, formando a teia complexa da segurança cibernética.
O elemento humano é a variável mais imprevisível e ao mesmo mais influente nas defesas digitais. São pessoas que criam ataques, são pessoas que sofrem com eles e são pessoas que levantam as defesas.
Assista ao nosso RedCast que discutiu o tema “O desafio de gerenciar os (inevitáveis) erros humanos na proteção de dados”:
E se aprofundar nisso importa porque, bom, a tecnologia avançou, mas as pessoas continuam as mesmas. Por isso é que, até hoje, criminosos cibernéticos se destacam em táticas de engenharia social: manipulam pessoas em vez de sistemas para obter acesso não autorizado.
Porém, apesar de o elemento humano ser um fator crucial quando falamos de segurança cibernética, segue subestimado nos planos de proteção das interações digitais.
The Annual Cybersecurity Attitudes and Behaviors Report 2024-2025 traz dados interessantes que nos ajudam a compreender melhor como as pessoas pensam cibersegurança e de que maneira isso influencia o nível de maturidade de proteção das empresas. Foram ouvidos 7 mil trabalhadores em sete países do globo.
As pessoas esperam segurança como padrão
Impressionantes 53% dos colaboradores em empresas estão sempre conectados online. Sempre. Outros 38% ficam online várias vezes ao dia. E boa parte deles espera segurança como padrão. De acordo com 90% dos entrevistados (90%!!), aplicativos e plataformas são pelo menos um pouco responsáveis por proteger suas informações pessoais online. No local de trabalho? Os departamentos de TI e segurança são vistos como os grandes responsáveis pela proteção das informações. A responsabilidade pessoal no local de trabalho foi citada por 36%.
Mais da metade dos participantes (57%) relatou ter conhecimento intermediário ou avançado de segurança cibernética. E, contraditoriamente, pelo segundo ano consecutivo, a porcentagem de participantes que incluíram informações pessoais – como familiares ou nomes de animais de estimação – em suas senhas aumentou. Mais de um terço (35%) dos participantes incluíram informações pessoais em suas senhas.
Quarenta por cento dos participantes relataram criar senhas usando uma única palavra do dicionário ou o nome de alguém, um aumento em todas as gerações desde 2023, com a Geração Z sendo a mais alta em 52%.
Há soluções que podem contribuir com a estratégia da sua empresa para analisar comportamentos e, assim, proteger em várias camadas. Converse agora com um de nossos consultores especializados.
Apesar dos conhecidos benefícios de segurança da MFA, uma parcela considerável daqueles que já ouviram falar dela não a usa (8%) ou parou (16%), muitas vezes citando a inconveniência (por exemplo, demora muito ou o telefone necessário como segundo fator nem sempre está disponível) e a percepção de que as senhas são seguras o suficiente, como motivos.
Em outras palavras, o fator humano opera nas percepções sobre segurança. E carrega a seguinte informação: o que as pessoas pensam que sabem, nem sempre está em sintonia com o que elas fazem.
Vamos falar sobre IA – quem está realmente usando?
Assustadores 38% dos colaboradores ouvidos para o relatório admitiram compartilhar informações confidenciais de trabalho com IA sem o conhecimento de seu empregador. Isso é ainda mais forte entre as gerações mais jovens (46% da Geração Z, 43% dos Millennials).
Mais da metade (56%) dos participantes relatam não usar nenhuma ferramenta de IA. Entre os que usam, 17% o fazem em casa, 11% no trabalho e 16% em ambas as configurações. O ChatGPT foi a ferramenta de IA generativa mais popular, usada por 65% dos participantes que usam ferramentas de IA.
Então, há muita adoção de IA acontecendo. Mas, quem está apoiado em habilidades e conhecimentos? A notícia não é das melhores: mais da metade dos participantes empregados (52%) e estudantes (58%) não receberam qualquer treinamento sobre o uso seguro da IA.
Engenharia social é usada até hoje porque ainda funciona
Uma das armas mais poderosas no arsenal de um criminoso cibernético não é o malware de alta tecnologia, mas a vulnerabilidade da mente humana. Phishing, vishing e smishing exploram confiança, medo, urgência e curiosidade nas pessoas. E essas táticas são eficazes. Um relatório recente da Verizon descobriu que o elemento humano foi considerado em 68% das violações de dados. Ou seja: do ponto de vista da segurança cibernética, as interações humanas são vulneráveis.
A essência do phishing está na persuasão. O ataque é contra nossas reações inatas: não ficamos indiferentes ao que nos parece urgente ou que desperte um senso de autoridade. Assim, mensagens falsas de bancos ou até mesmo colegas de trabalho, com logotipos, nomes de domínio e informações de contato que se assemelham aos reais nos parecem convincentes.
Para facilitar o trabalho dos cibercriminosos, não é incomum as pessoas atribuírem a outros a responsabilidade por proteger seus dados sensíveis. Ao serem perguntados “Quem é o maior responsável por proteger suas informações online?”, como foi feito no relatório citado no começo deste artigo, 23% dos participantes atribuíram a responsabilidade ao governo, 21% à indústria de tecnologia, 59% aos membros da família e 55% aos empregadores.
Claro que os departamentos de tecnologia das empresas são centrais quando falamos de segurança cibernética, da mesma forma que o governo também deve atuar. Mas, a responsabilidade é compartilhada. Porque é preciso que todos se envolvam para que o combate ao cibercrime seja efetivo. A pesquisa mostrou que 30% das pessoas que atuam em empresas expressaram que não faz sentido se proteger, pois suas informações já estão online, o que ressalta o aumento do risco. Afinal, um clique de um colaborador desavisado (ou desacreditado em relação a posturas de segurança) pode escancarar uma porta para um criminoso, ainda que toda a proteção tecnológica em torno de ativos esteja operando.
O documento traz que os entrevistados reportaram 3.346 incidentes de crimes cibernéticos em 2024, que resultaram em perda de dinheiro ou dados. Isso marca um aumento colossal de 1.299 em relação ao relatório de 2023. No geral, 35% dos participantes foram vítimas de crimes cibernéticos, incluindo phishing, golpes de namoro online e roubo de identidade. Um aumento de 8% em relação a 2023.
Que forma de crime foi o culpado mais comum? Golpes de phishing. Das 2.425 vítimas de crimes cibernéticos, a maioria sofreu crimes de phishing (60%), semelhante ao ano anterior à pesquisa.
Ao avaliar o acesso ao treinamento, o estudo mostra que esse dado pela primeira vez em quatro anos, aumentou, com 33% relatando que o fez. Mas, mais da metade (56%) ainda não tem acesso ao treinamento em segurança cibernética (ou não sabe que tem acesso).
Então, como proteger ativos considerando o elemento humano?
Uma estratégia de cibersegurança verdadeiramente eficaz não apenas bloqueia ataques; ela antecipa e se adapta ao comportamento humano. Apoiando as pessoas a evitarem tomadas de decisão impulsivas e a corrigirem erros em tempo, antes que se transformem em incidentes de segurança, fazemos dos seres humanos o elo mais forte da cadeia. Em outras palavras, é crucial alinhar medidas de segurança com tendências naturais das pessoas para elevar as defesas de uma organização.
Soluções inteligentes, que detectam ameaças automaticamente e alertam as empresas em tempo real, com apoio de IA e automação, potencializam a estratégia e os comportamentos seguros. Tecnologias que sejam aliadas, ajudando a identificar padrões comportamentais mais arriscados e, assim, a adaptar o treinamento e as políticas de segurança para as áreas e equipes que precisam de mais proteção.
