Conscientização em segurança é prioridade ou ilusão?

‎Por Richard Pandolfi

Nos últimos anos, a transformação digital trouxe avanços extraordinários para as empresas, mas também abriu portas para uma ameaça crescente: os ataques cibernéticos. Dentre eles, o phishing se destaca como uma das táticas mais comuns e perigosas, explorando um fator que nenhuma tecnologia pode substituir por completo — o comportamento humano.

Esse tipo de ataque, que explora falhas humanas mais do que tecnológicas, tornou-se uma das maiores preocupações para as empresas. O phishing é uma técnica de engenharia social que envolve o envio de mensagens fraudulentas (e-mails, SMS, mensagens em redes sociais) com o objetivo de enganar as vítimas e induzi-las a compartilhar informações confidenciais, como senhas, dados bancários ou credenciais de acesso.

O que torna o phishing tão eficaz é a sua capacidade de explorar a confiança e a falta de atenção das pessoas. Muitas vezes, os criminosos se passam por empresas ou colegas de trabalho, criando mensagens convincentes que dificilmente levantam suspeitas.

Quem não se lembra do caso da EMC, dona da empresa de segurança RSA em 2011, quando a empresa de segurança foi vítima de um ataque de phishing que comprometeu dados confidenciais?

“Estou encaminhando o arquivo para sua revisão. Por favor, abra e visualize-o” é o conteúdo de duas frases da mensagem, que tem entre seus destinatários três funcionários da EMC e um anexo em formato Excel chamado “2011 Recruitment Plan” (Plano de Recrutamento 2011).

Interface gráfica do usuário, Texto, Aplicativo, Email

O conteúdo gerado por IA pode estar incorreto.

A empresa deu poucos detalhes técnicos sobre o ataque que sofreu, limitando-se a informar que a mensagem havia sido “forjada bem o suficiente para convencer um funcionário a retirá-la da pasta de spam e abrir o arquivo Excel anexado”.

Eis que surge então uma questão crucial: estamos realmente preparados para proteger nossas organizações?

O avanço implacável do phishing

Os números são alarmantes. Segundo o Phishing Activity Trends Report da Anti-Phishing Working Group (APWG), no quarto trimestre de 2024, foram registrados aproximadamente 1,2 milhão de ataques de phishing — um aumento significativo em relação aos trimestres anteriores, refletindo a escalada contínua das ameaças cibernéticas. Esse crescimento evidencia não apenas a sofisticação dos criminosos, mas também sua habilidade em explorar a confiança e os descuidos dos profissionais em um ambiente cada vez mais digital.

Além disso, o 2024 State of the Phish Report da Proofpoint aponta que 94% das organizações enfrentaram pelo menos um ataque de phishing no último ano, sendo 79% deles iniciados por e-mails maliciosos. Esses dados reforçam que o phishing não é uma ameaça esporádica, mas uma estratégia recorrente que compromete a segurança de empresas de todos os portes.

O fator humano: vulnerabilidade e solução

Não é coincidência que o elemento humano seja o principal alvo desses ataques. Um estudo conjunto do professor Jeff Hancock da Universidade de Stanford e da empresa de segurança Proofpoint revelou que 88% das violações de dados decorrem de erros humanos, como clicar em links duvidosos ou compartilhar informações sensíveis sem verificar a fonte. Isso expõe uma realidade desafiadora: mesmo as melhores ferramentas de segurança são limitadas se os colaboradores não estiverem atentos.

Por outro lado, há esperança. O mesmo relatório da Proofpoint destaca que empresas que investem em treinamentos contínuos de segurança conseguem reduzir em até 85% a taxa de sucesso de ataques de phishing após um ano. Isso prova que, com a capacitação adequada, os profissionais podem deixar de ser o elo mais fraco para se tornarem a primeira linha de defesa.

Os custos de uma falha

Os impactos de um ataque bem-sucedido vão além da tecnologia. De acordo com o Cost of a Data Breach Report de 2024 da IBM, o custo médio de uma violação de dados atingiu US$ 4,88 milhões, sendo o phishing um dos vetores mais impactantes, com uma média de US$ 4,88 milhões por incidente. Esses valores englobam não só a recuperação técnica, mas também multas, perda de clientes e abalos à reputação — consequências que nenhuma empresa deseja enfrentar.

A EMC RSA teve um prejuízo de cerca de US$ 66 milhões (pág. 22) para mitigação e recuperação do ataque cibernético. Esse montante incluiu investigação, substituição de dispositivos comprometidos e reforço nos sistemas, mas não contabiliza os danos intangíveis, como a perda de confiança de clientes e o impacto na reputação, sentidos especialmente por empresas de defesa que dependiam da solução.

Conscientização como estratégia essencial

Diante desse cenário, a conscientização em segurança da informação é mais do que uma boa prática: é uma necessidade estratégica. Treinamentos regulares, simulações realistas de phishing e uma cultura organizacional que priorize a segurança são medidas indispensáveis para reduzir riscos. Mais do que isso, é fundamental engajar todos os níveis da organização, incluindo o C-level, que deve liderar pelo exemplo e participar ativamente dos treinamentos. Mostrar que cada ação, seja reportar um e-mail suspeito ou evitar um clique impulsivo, pode ser decisiva e reforça o compromisso coletivo com a segurança cibernética.

Como profissionais, precisamos nos manter vigilantes e atualizados. A tecnologia avança, os criminosos se adaptam, e nós devemos acompanhar esse ritmo. A segurança da informação não é apenas uma tarefa do time de Cyber; é um compromisso compartilhado que influencia diretamente o futuro das nossas empresas.

CONSELHEIR@

Richard Pandolfi

Richard Willian Pandolfi é um profissional altamente qualificado e experiente em segurança da informação, com uma carreira consolidada em empresas de prestação de serviços cibernéticos, instituições financeiras, meios de pagamento e serviços jurídicos. Ele se destaca como um líder estratégico na área de cibersegurança, com atuação em cargos de gestão no Brasil e na América Latina, onde gerenciou equipes multidisciplinares e colaborou com instituições de peso, como a Polícia Federal e a Interpol.

Richard possui expertise tanto na proteção proativa de sistemas (defesa) quanto na análise e simulação de ataques (segurança ofensiva), o que o torna um profissional versátil e preparado para enfrentar ameaças cibernéticas complexas.

Ele tem um histórico robusto em estruturar políticas e processos de segurança alinhados a frameworks globais como ISO 27001, NIST e MITRE ATT&CK. Isso inclui a implementação de controles internos, auditorias e a definição de estratégias para mitigação de riscos.

Sua experiência em lidar com incidentes cibernéticos, combinada com colaborações com órgãos policiais internacionais, sugere uma capacidade avançada de investigação e contenção de crises.

Um dos seus maiores diferenciais é a habilidade de liderar times diversos, promovendo uma cultura de segurança organizacional que equilibra proteção e inovação. Ele engaja colaboradores em todos os níveis, criando uma mentalidade de responsabilidade digital.

Richard Willian Pandolfi se posiciona como um elo entre a técnica e a estratégia. Sua capacidade de alinhar frameworks técnicos (como MITRE ATT&CK para análise de táticas adversárias) com objetivos de negócio (como inovação e conformidade) o torna um ativo valioso para organizações que buscam segurança sem comprometer a agilidade. Sua colaboração com entidades como Interpol e Polícia Federal reforça sua credibilidade em lidar com incidentes de alta criticidade, como crimes cibernéticos transnacionais.