Pular para o conteúdo principal
Setor

Por que os CEOs também deveriam se preocupar com phishing?

Já se foram os dias em que a segurança cibernética era um problema para alguns membros do time de TI. A melhor maneira de entender isso é pensar em quais áreas e funções dentro das empresas devem realocar seu foco se um desses ataques cibernéticos for bem-sucedido. O que aconteceria com os responsáveis pelo marketing? Seria um verdadeiro pesadelo para quem tenta construir reputação, bom nome, confiança e credibilidade entre usuários ou clientes. Enquanto isso, os membros do departamento financeiro são cruciais ao lidar com ransomware

Existem vários marcos relevantes para entender por que o phishing é importante para os CEOs: por exemplo, a crescente ameaça desses ataques, o impacto da pandemia na forma como o trabalho é gerenciado, a cultura organizacional e a participação ativa dos funcionários. 

No ano passado, o setor viu um aumento nos ataques de segurança cibernética. De acordo com um estudo interno da Microsoft, um crescimento de 300% nos ataques de roubo de identidade foi relatado em comparação com 2020, e os ataques de senha permanecem – de longe, os mais comuns. Os crimes baseados em phishing de URL também se tornaram mais sofisticados, mudando a maneira como os criminosos configuram as campanhas, a quantidade de dinheiro exigida e como é coletado. 

Ataques por e-mail, como phishing de senha para serviços em nuvem, também aumentaram em número e complexidade. 

De acordo com o Microsoft Digital Defense Report de outubro 2021, o phishing é o tipo mais difundido de “e-mail malicioso”. Os invasores enganam os indivíduos para que compartilhem informações confidenciais, como nomes de usuário e senhas. O número de e-mails de phishing observados no fluxo global de e-mails do Microsoft Exchange aumentou durante o período entre junho de 2020 e junho de 2021. Houve um aumento em novembro, possivelmente relacionado a e-mails com tema de Natal, e uma diminuição durante a temporada de feriados nos Estados Unidos, o que pode indicar que os invasores enviam menos mensagens quando a maioria das pessoas não está trabalhando. 

Os ataques de phishing não são apenas mais frequentes, mas cada vez mais relevantes para os tomadores de decisão em grandes empresas. As informações vêm de nossa própria pesquisa: a Microsoft entrevistou quase 800 líderes empresariais (de empresas com mais de 500 funcionários) de todo o mundo para entender suas opiniões sobre as ameaças que cresceram na pandemia, as implicações para orçamentos e contratações, e como eles pensam que a COVID-19 pode afetar a segurança cibernética a longo prazo. O resultado? Um número alarmante de empresas está sendo impactado por golpes de phishing, alegações de segurança falsas ou aumento de contratações em resposta à pandemia. Como consequência, haverá um investimento significativo em tecnologias e estruturas baseadas em nuvem, como Zero Trust. 

Antes da pandemia, grande parte do foco estava no atendimento, como acesso aos prédios ou escritórios da empresa, aos dispositivos da empresa – entre outros exemplos, e bastava cuidar de si mesmo com um simples “nome de usuário e senha”. É por isso que o maior investimento em segurança recentemente, segundo 20% dos entrevistados, foi na autenticação multifator. 

Mas por que colocar o phishing no centro? O phishing é a ameaça que representa o maior risco para as empresas, com 90% dos entrevistados confirmando que afetou sua organização. Mais da metade disse que clicar nesses e-mails era o comportamento mais arriscado e 28% admitiram que os invasores tiveram sucesso. É importante ressaltar que eles foram ainda mais prevalentes (36%) em organizações que têm seus recursos físicos em vez de baseados em nuvem

Errar é humano, por isso se preparar é a melhor prevenção contra uma ameaça que aumenta ano após ano. Os dados são essenciais para que os Chief Information Security Officers (CISOs) redirecionem seus esforços. É natural querer melhorar sistemas e estratégias em vez de treinar pessoas, mas nossa experiência sugere que a cultura organizacional é fundamental para manter a segurança. Mais de 99% dos e-mails que distribuíram malware entre 2018 e 2019 exigiram interação humana – como clicar em um link, abrir um documento, aceitar avisos de segurança ou concluir alguma tarefa – para comprometer a organização. 

Para finalizar, gostaríamos de insistir em um conceito bem conhecido: o “people’s first” – pessoas em primeiro lugar. Uma cultura de segurança cibernética eficaz significa que todos os indivíduos foram capacitados e treinados para entender as ameaças que enfrentam, implementar as melhores práticas e reduzir os riscos. Tornar tudo isso uma realidade é uma tarefa para os C-levels das empresas. Criar uma cultura de segurança eficiente e forte é colocar nosso pessoal em primeiro lugar. Trata-se de comunicar com cada um dos nossos colaboradores de forma abrangente, com uma linguagem compreensível, sensibilizando e dando formação. Esses conceitos foram a base para nosso último evento de segurança, Security Summit: Redefinindo Estratégias para Trabalho Híbrido. Se você estiver interessado em ver o evento on demand e aprender sobre as últimas tendências de segurança cibernética de nossos especialistas, o papel crítico da confiança zero como estratégia de segurança no mundo híbrido e muito mais, clique aqui

Como Bret Arsenault, nosso vice-presidente corporativo (CVP) e CISO, disse: “É importante promover os benefícios aos usuários desde o início (…). Quando as pessoas veem que nossos esforços melhoram sua experiência, é mais fácil para elas participarem com entusiasmo.” Não poderia haver resumo melhor. 

Este artigo despertou seu interesse? Convidamos você a descobrir mais neste infográfico