Escolar Documentos
Profissional Documentos
Cultura Documentos
SETOR
REL ATÓRIO DE BENCHMARK | EDIÇÃO DE 2022
INTRODUÇÃO Relatório global de benchmark de Phishing por setor de 2022 2
A distração pode facilmente levar a um desastre. Com o aumento dos casos Para ajudar as organizações a avaliar sua PPP e entender as considerações
de phishing, a mentalidade e as ações dos funcionários são fundamentais de sua classificação, a KnowBe4 realiza um estudo anual para fornecer um
para a postura de segurança de qualquer organização. Os líderes de benchmark definitivo de Phish-prone entre os setores. Categorizado por
segurança precisam saber o que acontece quando seus funcionários recebem vertical de setor e porte da organização, o estudo revela padrões que podem
e-mails de phishing: eles tendem a clicar no link? São enganados e acabam iluminar o caminho para um futuro mais sólido e seguro.
inserindo suas credenciais? Baixam anexos que contêm malware? Apenas
ignoram o e-mail ou o excluem sem notificar o empregador? Ou será que
denunciam uma suspeita de phishing e participam ativamente da camada de
defesa humana? ESTUDO GLOBAL DE BENCHMARK DE
A suscetibilidade dos funcionários da organização a esses ataques de PHISHING POR SETOR DE 2022
phishing é conhecida como Porcentagem de Phish-prone™ (PPP). Quando o
risco de phishing é convertido em termos mensuráveis, os líderes conseguem Toda organização tem dificuldade de responder a uma pergunta básica: “Em
quantificar a probabilidade de violação e adotar um treinamento capaz de que nível está a minha organização quando comparada a outras do mesmo
reduzir a superfície humana de ataque. tipo?”. Para dar uma resposta precisa e diferenciada, o Estudo de benchmark
de phishing por setor de 2022 analisou um conjunto de dados de mais de 9,5
milhões de usuários, em 30.173 organizações, com mais de 23,4 milhões de
Definição do risco por setor testes de simulação de phishing, em 19 setores diferentes.
A PPP de uma organização indica quantos de seus funcionários tendem a
cair em golpes de engenharia social ou phishing. São aqueles funcionários
Metodologia para o estudo deste ano
que podem se deixar enganar e clicar em um link, que abrem um arquivo Todas as organizações foram categorizadas por tipo de setor e porte. Para
infectado com malware ou transferem fundos da empresa para a conta calcular a PPP de cada organização, mensuramos o número de funcionários
bancária de um criminoso cibernético. Uma PPP alta indica um risco maior, que clicaram em um link de e-mail de phishing simulado ou abriram um
pois aponta para um número mais alto de funcionários que costumam cair anexo infectado durante uma campanha de teste que usou a plataforma
nesses golpes. O ideal é uma PPP baixa, pois indica que os funcionários estão da KnowBe4.
atentos à segurança e sabem reconhecer e conter essas tentativas.
Em nosso relatório de 2022, continuamos observando as três seguintes fases
Em resumo, uma PPP baixa significa que a camada de segurança humana de benchmark:
da organização representa um ponto forte, e não fraco. A PPP geral agrega
ainda mais valor quando é colocada em contexto. Depois de observarem • Fase um: resultados basais do teste de phishing
a PPP, os líderes costumam perguntar: “Em que nível está a minha
organização quando comparada a outras?” e “O que podemos fazer para • Fase dois: resultados do teste de phishing em 90 dias de treinamento
reduzir nossa Porcentagem de Phish-prone e oferecer mais recursos à nossa • Fase três: resultados do teste de phishing depois de um ano ou mais de
camada humana?” treinamento contínuo
Estudo de benchmark
Estudo de benchmark
de Phishing por setorde Calculando a porcentagem Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
ESTUDO DE BENCHMARK DE PHISHING POR SETOR Relatório global de benchmark de Phishing por setor de 2022 4
1 2 3
Se os usuários não tiverem Qual será a PPP Qual será a PPP final
recebido treinamento e resultante depois que os resultante depois que
você enviar um ataque de usuários concluírem o os usuários fizerem o
phishing, qual será a PPP treinamento e receberem treinamento contínuo
inicial resultante? os testes de simulação de e os testes mensais de
phishing em 90 dias após simulação de phishing?
o treinamento?
Para isso, monitoramos a suscetibilidade Para responder a essa pergunta, Para responder a essa pergunta,
do funcionário em um teste basal inicial identificamos quando os usuários mensuramos as habilidades de
de simulação de phishing. Com base em concluíram o primeiro treinamento e conscientização em segurança após
um conjunto estabelecido de usuários, procuramos todos os eventos de phishing 12 meses ou mais de treinamento
observamos quando um usuário é em até 90 dias depois da conclusão do contínuo e testes de simulação de
reprovado no teste de simulação de treinamento. phishing, procuramos usuários que
phishing antes de ter realizado qualquer tenham concluído o treinamento há, pelo
treinamento. menos, um ano e usamos os resultados
de desempenho no teste de phishing
mais recente que eles fizeram.
Estudo de benchmark
Estudo de benchmark
de Phishing por setorde Calculando a porcentagem Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
ESTUDO DE BENCHMARK DE PHISHING POR SETOR Relatório global de benchmark de Phishing por setor de 2022 5
23,4
19 SETORES
ORGANIZAÇÃO
Bancos
Serviços ao consumidor
Educação
5.876
9,5
Energia e serviços públicos
Serviços financeiros
organizações
Governo
milhões Saúde e produtos farmacêuticos
de usuários
1.709
Hospitalidade
Seguros
organizações
Jurídico
30,1
Manufatura
Outro
Estudo de benchmark
Estudo de benchmark
de Phishing por setorde Calculando a porcentagem Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
ESTUDO DE BENCHMARK DE PHISHING POR SETOR Relatório global de benchmark de Phishing por setor de 2022 6
• Entre as pequenas organizações (1 a 249 funcionários), o setor de • Entre as grandes organizações (mais de 1.000 funcionários), o setor de
Educação, embora ligeiramente melhor do que em 2021, embarca Energia e serviços públicos saiu da dianteira e deu lugar ao setor de
em 2022 com uma PPP de 32,7%. O setor de Saúde e produtos Seguros (que ficou em segundo em 2021) com uma PPP de 52,3%. O
farmacêuticos vem na sequência, com uma PPP de 32,5%. Tirando o setor de Consultoria, que é novo na classificação, veio em seguida, com
setor das Organizações sem fins lucrativos do último lugar vem o setor de uma PPP de 52,2%, enquanto Energia e serviços públicos completou o
Atacado e varejo com uma PPP de 31,5%. grupo, com uma PPP de 50,9%. O setor de Bancos não aparece entre os
três principais em 2022.
• Entre as organizações de médio porte (250 a 999 funcionários), os três
principais setores de 2021 permaneceram. O setor de Hospitalidade • O vencedor do benchmark de Phish-prone mais baixo entre as pequenas
manteve a PPP de 39,4% de 2021. Energia e serviços públicos e empresas (1 a 249 funcionários) foi o setor de Bancos, com uma PPP de
Saúde e produtos farmacêuticos trocaram de posição, sendo que a 25,4%; entre as organizações de médio porte foi o setor de Governo,
segunda apresentou uma PPP de 36,6% e o setor de Energia e serviços com uma PPP de 26,4%; já entre as grandes organizações foi o setor
públicos teve uma PPP de 34%. Convém observar que os três setores de Hospitalidade, com uma PPP de 20,4%. Embora sejam os mais
tiveram PPPs mais sólidas em relação às classificações de 2021, embora baixos, esses resultados de PPP são um forte indicativo de que uma
continuem sendo os setores de risco mais alto. base de usuários não treinada ainda está vulnerável a cair em ataques
de phishing.
Estudo de benchmark
Estudo de benchmark
de Phishing por setorde Calculando a porcentagem Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
CALCULAR A PORCENTAGEM DE PHISH-PRONE™ POR SETOR
Fase um
32
Relatório global de benchmark de Phishing por setor de 2022 7
Calculando a porcentagem
Estudo de benchmark de Calculando a porcentagem
de Phish-prone™ por setor Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
CALCULAR A PORCENTAGEM DE PHISH-PRONE™ POR SETOR
Fase dois
17
Relatório global de benchmark de Phishing por setor de 2022
• A queda significativa de 32,4% para 17,6% em todos os setores é a prova de Energia e serviços públicos 16,8% 17,2% 16,4%
que um programa de treinamento de conscientização em segurança pode trazer Serviços financeiros 15,1% 16% 19,1%
muitos benefícios para a criação de uma camada de defesa humana sólida como
parte da sua postura de segurança de TI de defesa aprofundada, mesmo nos Governo 16% 15,5% 15,2%
três primeiros meses. Saúde e produtos farmacêuticos 19,7% 19,1% 17,2%
Considerações: depois de aplicar apenas 90 dias de treinamento atualizado Hospitalidade 19,7% 19,4% 12,2%
de conscientização em segurança, observamos uma melhoria significativa nas Seguros 17,7% 17,5% 17,3%
habilidades dos funcionários de detectar e-mails maliciosos em todos os setores
e portes de organização. Imagine um plano de dieta para perda de peso. São pelo Jurídico 16,5% 15,9% 13%
menos 90 dias para começarmos a ver os resultados. Nesse mesmo cronograma, Manufatura 17,7% 17% 16,5%
seus funcionários recém-treinados no programa de 90 dias podem reduzir quase
que pela metade a possibilidade de sua organização sofrer violações devastadoras Organização sem fins lucrativos 20,3% 20,8% 18,2%
na marca/receita. É um investimento de 90 dias para elevar os níveis de preparo e Outro 19% 21,4% 20,1%
diminuir o risco. Assim como acontece em qualquer mudança significativa, leva-se
Atacado e varejo 18,3% 18,1% 18,1%
tempo para eliminar velhos hábitos e adquirir novos. No entanto, quando esses
novos hábitos são adquiridos, eles passam a ser o novo normal, a fazer parte da Tecnologia 18,9% 18,8% 19,2%
cultura organizacional e influenciar o comportamento das outras pessoas, em
Transporte 18,5% 18,7% 16,5%
especial dos novos contratados, que recorrem aos veteranos para saber o que é
social e culturalmente aceitável na organização.
Calculando a porcentagem
Estudo de benchmark de Calculando a porcentagem
de Phish-prone™ por setor Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
CALCULAR A PORCENTAGEM DE PHISH-PRONE™ POR SETOR
Fase três
5
Relatório global de benchmark de Phishing por setor de 2022 9
Calculando a porcentagem
Estudo de benchmark de Calculando a porcentagem
de Phish-prone™ por setor Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
85
CALCULAR A PORCENTAGEM DE PHISH-PRONE™ POR SETOR
Melhoria média
Relatório global de benchmark de Phishing por setor de 2022
Calculando a porcentagem
Estudo de benchmark de Calculando a porcentagem
de Phish-prone™ por setor Benchmarks internacionais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 11
BASAL 9 0 DI A S 1 A NO
Mais de Mais de Mais de
Porte da organização 1 a 249 250 a 999 1 a 249 250 a 999 1 a 249 250 a 999
1.000 1.000 1.000
APAC 30,2% 32,6% 36,7% 21,1% 19,2% 15% 4,4% 6,2% 5,2%
R E G I Ã O
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 12
Além do ransomware, o Comprometimento de e-mail comercial (Business Os pedidos de resgate chegam a US$ 50 milhões ou mais, portanto,
Email Compromise, BEC), também conhecido como Fraude do CEO, continua pouquíssimas organizações podem ignorar a ameaça. Além disso, quando
ocorrendo de maneira desenfreada na América do Norte. São ataques que são vítimas de ataques de malware ou ransomware, as organizações
acontecem por phishing, vishing e smishing de e-mail e são muito eficientes. precisam arcar com custos significativos relacionados às etapas de perícia
Ao contrário do ransomware, esses ataques não costumam usar links digital necessárias para encontrar o vetor de infecção inicial e fechar as
maliciosos ou documentos infectados com malware que os controles técnicos backdoors deixadas pelos invasores. Se a organização não encontrar e lidar
conseguem sinalizar. Eles acontecem basicamente por engenharia social. De com todas as formas usadas pelos invasores, a reinfecção será apenas uma
solicitações de vales-presente a grandes transferências eletrônicas, esses questão de tempo.
ataques continuam atingindo organizações de todos os portes e em todos os
setores, diretamente no bolso. Perfil de negócio típico
Mesmo quando bem-sucedidos, esses ataques são bem menos visíveis ao Na América do Norte, organizações de todos os portes sofrem com a falta
público geral, pois geralmente não impedem as operações diárias. Por esse de recursos e fundos na guerra contra o crime cibernético. Isso acontece
motivo, são difíceis de detectar, a menos que a organização decida divulgar principalmente com organizações de pequeno e médio portes que, às vezes,
publicamente a perda, algo que raramente é feito se não for por exigência. não conseguem justificar a contratação de um especialista em segurança
cibernética em tempo integral. Muitas organizações menores se acham
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 13
muito pequenas para serem alvos de criminosos cibernéticos. Infelizmente, Essa pontuação de cultura de segurança reflete ideias, costumes e
para elas, isso está longe de ser verdade, principalmente na era moderna do comportamentos sociais que afetam a segurança da organização.
ransomware, em que o acesso aos seus próprios dados tem um enorme valor
para as organizações que desejam manter-se no mercado. Embora o custo de Atitudes gerais
contratar um especialista em segurança cibernética dedicado seja proibitivo
para as organizações menores, muitas delas podem trabalhar com parceiros Na América do Norte, muitas organizações já se conscientizaram dos riscos
de canal para gerenciar suas ferramentas de segurança e, até mesmo, seus da camada humana que os funcionários enfrentam e começaram a lidar com
programas de conscientização e treinamento, uma abordagem que pode essa questão oferecendo a eles a educação, o treinamento e as habilidades
agregar muito valor ao investimento. de que precisam para se protegerem e protegerem a organização contra os
ataques usados por
agentes mal-intencionados.
Independentemente do tipo específico de ataque, um incidente cibernético
pode ser um problema sério para as organizações envolvidas em negócios Pontos principais
de Fusões e Aquisições (Mergers and Acquisitions, M&A). O resultado de Fica evidente que o crime cibernético é algo que não desaparecerá e que
um ataque bem-sucedido pode desvalorizar muito o preço da organização não pode ser ignorado. O impacto financeiro e operacional é grande demais
que está sendo adquirida, desencadear problemas com órgãos reguladores, para ser negligenciado até pelas maiores organizações. Embora o seguro
como a Securities and Exchange Commission (SEC), ou esvaziar os cofres da cibernético possa aliviar um pouco o golpe de um pagamento, ele não
organização adquirente. Tudo isso pode arruinar uma aquisição rapidamente. substitui métodos adequados de prevenção e recuperação e não pode fazer
nada para lidar com os prejuízos à reputação causados por um ataque de
Adoção cultural grandes proporções.
Os programas de conscientização e educação estão amadurecendo,
A tecnologia exerce um papel importante na prevenção e na recuperação de
priorizando a mudança de comportamento dos funcionários e
um ataque; entretanto, o fator humano é, de longe, o ponto de entrada inicial
implementando uma mudança positiva na cultura geral de segurança
mais comum na rede. Em outras palavras, é na camada humana que um
da organização, em vez de simplesmente fornecer informações. Esses
ataque quase sempre faz a transição entre tentativa e invasão bem-sucedida
programas maduros geralmente operam da mesma maneira e emulam
da rede. Muitas organizações norte-americanas começaram a reconhecer
campanhas de marketing direcionadas a clientes novos e existentes.
esse perigo e a priorizar mais as maneiras de ajudar os funcionários a se
Isso significa uma exposição recorrente ao material ao longo do tempo, em protegerem contra essa enxurrada constante de ataques dos agentes mal-
vez de um grande evento por ano. Essa abordagem dá ênfase ao material intencionados. Além de enxergarem uma redução significativa de incidentes
e afeta comportamentos de relacionados a phishing por
e-mail por meio da educação de
maneira positiva. Para simplificar,
A MÉRIC A DO conscientização em segurança,
na América do Norte, a educação
BASAL 9 0 DI A S 1 A NO
e o treinamento dos funcionários
avançaram significativamente
NOR T E elas também estão adotando o
treinamento e a educação para
a ponto de serem usados como promover uma mudança na cultura
1 a 249 28,7% 17,4% 3,5%
um método-chave de proteção geral de segurança da organização
das organizações. Segundo o 250 a 999 30,2% 17,9% 4,6% e lapidando campanhas
Relatório de cultura de segurança informativas de longo prazo tendo
da KnowBe4 de 2022, a região Mais de 1.000 35,8% 17,4% 6% esse objetivo como foco.
da América do Norte tem uma
pontuação mais favorável do que PPP média entre
a do resto do mundo, com uma
média de 74 (de um total de 100).
organizações de todos os
portes
32,4% 17,5% 4,7%
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 14
O comprometimento da empresa de software SolarWinds e o exploit dos Os setores de serviços representavam 76% das empresas, e 16% das PMEs
Microsoft Exchange Servers destacaram a ameaça de ataques à cadeia de (pequenas e médias empresas) eram lideradas por mulheres. Não havia
suprimentos, com muitas organizações no Reino Unido e Irlanda sendo quadros de funcionários inteiramente masculinos no FTSE100.
afetadas negativamente.
Adoção cultural
De forma geral, as táticas dos criminosos continuam muito parecidas com o
que já observamos em anos anteriores. Engenharia social, exploit de software De acordo com o Relatório de cultura de segurança da KnowBe4 de 2022, a
vulnerável sem patches aplicados e comprometimento de credenciais fracas região do Reino Unido e Irlanda tem uma pontuação que se compara bem
permanecem como os vetores de ataque predominantes. Com o home office com a pontuação do índice da cultura de segurança do Reino Unido (74 de um
e o trabalho híbrido, a superfície de ataque de engenharia social aumentou e, total de 100) e da Irlanda (78 de um total de 100). Essa pontuação de cultura
hoje, muitos ataques vêm de telefones residenciais fixos, SMS, redes sociais de segurança reflete ideias, costumes e comportamentos sociais que afetam
ou e-mails para contas pessoais e corporativas. a segurança da organização.
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 15
A COVID-19 foi o grande catalisador que acelerou a 250 a 999 27,7% 16,2% 4,3%
transformação digital em um ritmo possivelmente
mais rápido do que as organizações e a sociedade, em Mais de 1.000 32,7% 17,5% 8,3%
geral, estavam preparadas. Embora isso tenha trazido
muitos benefícios, acumulou-se também uma grande PPP média entre organizações de
dívida técnica. todos os portes 30% 17% 5,5%
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 16
EUROPA Embora
não haja
dados claros
Problemas mais predominantes à disposição, fica
evidente que o impacto
O surto de COVID-19 intensificou a dependência de tecnologias da informação
econômico do crime
e de comunicação mais do que qualquer outra época. Para ocuparem
cibernético é alto. De acordo
uma posição no mercado, as organizações precisaram recorrer a medidas
com a Agência de Segurança
alternativas de continuidade dos negócios, como a adoção de novos serviços
Cibernética da União Europeia
em nuvem, a criação de serviços diretos ao consumidor, a introdução de
(ENISA), 57% das organizações de
novas formas de pagamento digital e a possibilidade de permitir que os
PMEs (pequenas e médias empresas)
funcionários trabalhassem remotamente. Tudo isso precisou ser feito de uma
entrevistadas afirmam que provavelmente
hora para a outra, normalmente abrindo brechas críticas de segurança.
pediriam falência ou fechariam as portas se
As grandes empresas, em geral, contam com funcionalidades e recursos um incidente grave de segurança cibernética
disponíveis para suportar o impacto de uma crise de tamanha proporção, acontecesse.
enquanto as organizações de pequeno e médio portes sofrem mais.
Quase que constituindo a grande maioria das organizações na UE, essas Perfil de negócio típico
organizações de pequeno e médio portes também são os grupos mais
vulneráveis, com orçamentos de segurança cibernética geralmente limitados Empresas de pequeno e médio portes representam 99% de todas as
e baixa resiliência a grandes catástrofes. empresas na UE. De acordo com a Statista, em 2020, aproximadamente
93,3% das empresas na economia de negócios não financeiros da Europa
Grandes incidentes que ameaçaram a Europa mostraram ter consequências eram microempresas e empregavam até nove funcionários. No mesmo ano,
de grande alcance. Com o aumento contínuo de uso da Internet na Europa, cerca de 5,7% foram definidas como empresas de pequeno porte (10 a 49
crises, como a pandemia de COVID-19, a guerra na Ucrânia e o aumento funcionários), 0,9% como empresas de médio porte (50 a 249) e 0,2% como
geral do crime cibernético, podem ter um impacto devastador sobre as empresas de grande porte que empregavam 250 ou mais funcionários.
organizações. Os problemas predominantes de segurança cibernética,
segundo a Europol, são causados por ataques de phishing e engenharia
social. Considerando que a UE representa a maior economia do mundo, é Adoção cultural
imprescindível diminuir o risco de se tornar vítima desses ataques com o
aumento da conscientização em segurança das pessoas. O Relatório de cultura de segurança da KnowBe4 de 2022 constata que
a Europa vai razoavelmente bem com uma pontuação 73 (de um total de
100) no índice da cultura de segurança geral. Essa pontuação de cultura de
Impacto econômico segurança reflete ideias, costumes e comportamentos sociais que afetam
a segurança da organização e a adoção da segurança por parte de seus
É difícil determinar, com precisão, o impacto econômico do crime cibernético funcionários.
na Europa. Métricas confusas, incidentes não divulgados e insuficiência geral
de dados financeiros praticamente inviabilizam uma contabilidade precisa.
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 17
Diversos países na UE estão desenvolvendo ativamente uma conscientização De forma geral, a adoção da segurança cibernética nas organizações
sobre segurança cibernética entre seus cidadãos e as organizações. está sendo caracterizada pela necessidade de ela provar seu valor como
Variando de campanhas de conscientização direcionadas aos consumidores facilitadora de negócios.
até o fornecimento ativo de inteligência de código aberto e informações
sobre indicadores de comprometimento (IOC) para as organizações. Essas
iniciativas e o aumento da atenção ao crime cibernético pela mídia nacional Pontos principais
e local geraram uma percepção maior da necessidade de adotar a segurança
A dependência das tecnologias da informação e de comunicação
como um fator básico de higiene.
impulsionada pela pandemia de COVID-19 leva ao desafio em torno da
segurança cibernética. Essa dependência de tecnologias de comunicação está
Atitudes gerais sendo explorada pelos grupos criminosos na forma de ataques cibernéticos.
Engenharia social, ransomware e ataques à cadeia de suprimentos são
A transformação digital é um dos maiores desenvolvimentos que fazem as especialmente projetados para enfraquecer as empresas. O phishing ainda
organizações europeias avançarem. Embora o desenvolvimento seja algo é o principal vetor de ataque, tornando as pessoas uma parte importante da
positivo, isso também aumenta a necessidade de uma resiliência maior postura de segurança de qualquer organização.
contra o crime cibernético. Duas tecnologias importantes da era digital, a
adoção das tecnologias da Internet das Coisas e a introdução da Inteligência Devido à escassez de mão de obra qualificada e ao número crescente de
artificial, também estão sendo exploradas pelos criminosos. incidentes de crimes cibernéticos na Europa, as organizações precisam se
concentrar nos funcionários como uma camada crítica de segurança. Os
O mais interessante é a mudança de cenário de expertise. As organizações funcionários são considerados ativos que precisam de proteção, mas também
procuram cada vez mais habilidades associadas ao gerenciamento geral como ativos que podem ser capacitados como parte de seu firewall e sua
de segurança, como gerenciamento de riscos e de serviços, enquanto postura geral de segurança. Com a média de Porcentagem de Phish-prone
habilidades, como teste de penetração manual e gerenciamento de em 29,9% na Europa, é crucial que as organizações invistam em programas
tecnologias, estão se tornando menos importantes devido aos avanços na de conscientização em segurança para capacitar as pessoas a tomarem
automação e inteligência artificial. melhores decisões nesse sentido.
EUROPA BASAL 9 0 DI A S 1 A NO
1 a 249 27,8% 17,9% 4,2%
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 18
ÁFRICA
Problemas mais predominantes
Conforme relatado pelo Africa Center for Strategic Studies, a África enfrenta Dados publicados no Annual Report
uma série crescente de ameaças cibernéticas de espionagem, sabotagem de of the South African INSURANCE CRIME
infraestruturas críticas e crime organizado. Ainda assim, apenas um terço BUREAU de 2020 mostram que o rápido
(17) dos 54 países africanos implementaram uma estratégia de segurança crescimento da economia digital na África ultrapassou
cibernética nacional. Além disso, os países que têm estratégias ficam os desenvolvimentos no fornecimento de segurança
para trás, pois seus planos não incluem as principais partes interessadas, cibernética adequada e que as pressões econômicas,
não solucionam adequadamente a questão da capacitação e não são políticas e sociais combinadas estão causando um
suficientemente adaptados às ameaças em evolução. As tentativas aumento no “crime econômico desesperado”, incluindo
anteriores de aprimorar a cooperação cibernética entre fronteiras na África, crimes físicos, além de fraudes e crimes cibernéticos mais
principalmente a Convenção sobre Segurança Cibernética e Proteção de sofisticados.
Dados Pessoais (a Convenção de Malabo), patrocinada pela Austrália, ainda
não atingiram o suporte adequado em âmbito nacional. A Pesquisa sobre ransomware da ITWeb e KnowBe4 de 2021 na África do Sul
aponta que 32% dos entrevistados tinham sofrido um ataque de extorsão
Um dos maiores problemas de segurança cibernética da África é a escassez cibernética. E que 4% das vítimas pagaram o pedido de resgate, fazendo
de habilidades. O continente enfrenta uma falta de 100.000 pessoas com desta uma região lucrativa para gangues de ransomware.
certificação em segurança cibernética. Um grande número de empresas,
agências e consumidores precisa de conscientização cibernética, e as Além das perdas diretas sofridas com os ataques de extorsão cibernética e as
empresas não conseguem implementar os controles básicos. fraudes cibernéticas, a falta de proteção e segurança cibernética adequadas
faz com que muitos países e muitas organizações não consigam aproveitar
Os governos não monitoram adequadamente as ameaças, não coletam as oportunidades da Quarta Revolução Industrial. A maioria das nações
evidências de perícia digital e não processam crimes digitais. africanas é despreparada para lidar com os avanços em IA, comunicações
sem fio, computação quântica e automação que devem caracterizar a
próxima década. Isso significa que as organizações africanas não poderão
Impacto econômico se beneficiar economicamente dessas tecnologias se não estiverem
devidamente preparadas para enfrentar as ameaças cibernéticas.
Como os incidentes e o impacto financeiro não são divulgados oficialmente,
é difícil saber até que ponto o crime cibernético realmente afeta a economia
africana. 96% dos incidentes de segurança cibernética não são denunciados
ou não são resolvidos, o que indica que as ameaças cibernéticas na África
provavelmente sejam muito piores do que é formalmente reconhecido.
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 19
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 20
No entanto, com o aumento da prosperidade e da digitalização, surgem novos O ransomware ganhou mais popularidade. Com questões mais urgentes
riscos e vulnerabilidades que podem prejudicar o progresso. É necessário para resolver, como desemprego na juventude, pobreza, desigualdade e
ver muitas ações mais das empresas e dos governos para solucionar a crimes violentos, há pouca priorização e pouco investimento em segurança
“incompetência inconsciente” dos usuários da África em relação à segurança cibernética entre as empresas e os governos.
cibernética e proteger seus cidadãos contra o crime cibernético.
As empresas nessa região muitas vezes não conseguem arcar nem mesmo
com os controles de segurança mais básicos. Aquelas que conseguem investir
Pontos principais têm dificuldade de encontrar pessoas que tenham conhecimento e habilidade
em segurança cibernética. As parcerias público-privadas são necessárias
O Relatório da KnowBe4 de conscientização e segurança cibernética na África para ajudar a África em seus desafios de segurança cibernética. O setor
de 2021 revela um panorama de ameaças à segurança que se modificou privado, particularmente os setores de serviços financeiros, conta com o
e se adaptou às mudanças nas condições de trabalho e nas preocupações capital humano, a infraestrutura, os recursos e a experiência em segurança
de segurança ao longo do ano passado. Apenas 40% dos entrevistados cibernética que os governos não têm. Continua sendo fundamental que
acreditam que realmente entendem suas funções e responsabilidades quanto as organizações treinem funcionários e seus clientes quanto às melhores
à segurança e apenas 28% acreditam que receberam de seus empregadores práticas de segurança. Governos e instituições de ensino precisam investir na
o treinamento adequado em segurança cibernética. Os ataques contra expansão da tão necessária capacitação profissional em segurança, além de
organizações africanas são consistentes com ataques em outros países, como tornar a conscientização em segurança cibernética uma habilidade vital para
extorsão cibernética, cavalos de Troia bancários, golpes de investimento todos os jovens que ingressam no mercado de trabalho.
(incluindo golpes de criptomoedas), comprometimento de e-mail comercial
(BEC) e engenharia social para fraude financeira. No entanto, a ameaça
é ampliada, pois os africanos são inerentemente menos conscientes das
ameaças cibernéticas do que os habitantes de outros países. Golpes
relativamente básicos, como BEC, phishing, vishing e smishing, costumam
funcionar, especialmente entre empresas pequenas e mal equipadas.
Á F RIC A BASAL 9 0 DI A S 1 A NO
1 a 249 30,2% 24,8% 8,1%
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 21
AMÉRICA DO SUL
Problemas mais predominantes
Os ataques cibernéticos surgem de todas as formas e grandezas na América Quando as empresas com mais de 1.000
Latina. Mais especificamente, worms, cavalos de Troia, spyware, ransomware funcionários são avaliadas, o Peru aparece no
e, especialmente, phishing, fazem parte dessa ampla lista. topo do ranking da Porcentagem de Phish-
prone, com 72,7%, depois vem o Brasil (65,1%)
A pandemia mundial de COVID-19 trouxe profundas mudanças para a e a Colômbia (46,6%).
sociedade e afetou as empresas e as pessoas em diferentes aspectos. Com
a propagação do vírus, muitas organizações tiveram de aderir ao trabalho
remoto, um grande impacto tecnológico, principalmente em relação à Impacto econômico
segurança cibernética.
A hiperconectividade das últimas décadas
Com a interconectividade cada vez mais presente e com a expansão do ampliou o cenário das atividades cibernéticas e
trabalho remoto, novos desafios surgiram na área de segurança das também a mira dos invasores cibernéticos. Cada
informações, aumentando os riscos a níveis exponenciais. Como o ambiente usuário, empresa e governo é um alvo e, portanto, a segurança deve ser
corporativo mudou para uma estrutura de trabalho remoto, é necessário considerada um investimento de recursos importante e de alta prioridade.
que a segurança seja bem projetada e configurada para evitar que agentes
Por conta de diversos fatores técnicos e financeiros, os ataques cibernéticos
maliciosos prejudiquem os negócios.
muitas vezes passam despercebidos, mas certas ações ofensivas podem
No cenário global, dois países da América Latina aparecem entre as 10 nações representar sérias ameaças e gerar perdas econômicas significativas.
mais afetadas pelos ataques de phishing. O Brasil lidera o ranking, com 12,4%,
As estimativas das perdas financeiras causadas pelos ataques cibernéticos
e o Equador ocupa a 10ª posição na lista, com 10,7%. Em outras palavras, a
soma dos ataques nesses dois países sul-americanos representa 23,1% dos aumentam a cada ano. De acordo com o Relatório de segurança cibernética
ataques de phishing no mundo todo. na América Latina da Statista, o mercado de segurança cibernética na
América Latina foi avaliado em quase US$ 12,9 bilhões em 2019. Estima-se
que esse valor ultrapasse US$ 25 bilhões até 2025. Brasil, México e Colômbia
Porcentagem de Phish-prone aparecem como os países mais visados pelos criminosos cibernéticos. Juntos,
os três representam quase 9 dos 10 ataques registrados na América Latina.
Em 2021, identificamos uma Porcentagem de Phish-prone de 39,9% na
América Latina. Os números apontam para um aumento de 6,1% em O ransomware é um dos tipos mais comuns de ataques realizados pelos
comparação com o registro de 33,7% em 2020 publicado no Relatório de criminosos cibernéticos na América Latina. Na pesquisa de 2020, 65% dos
benchmark de phishing por setor de 2021. entrevistados no Brasil afirmaram que a organização em que trabalhavam
sofreu ataques de ransomware, enquanto 44% dos entrevistados no
É notável que a América do Sul seja a região global mais suscetível a ataques México e na Colômbia disseram que sua organização tinha sido atacada por
de phishing, em comparação com outras regiões, como América do Norte ransomware.
(32,4%), Ásia (34,6%), Europa (29,9%) e Oceania/Austrália/Ásia (34,5%).
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 22
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 23
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 24
Pelo fato de os acordos de trabalho remoto e híbrido continuarem, há uma Tendo em vista a falta de clareza do departamento de TI, não é de
necessidade contínua de solucionar o erro humano, que é responsável pela surpreender que os funcionários também não saibam quem é o responsável
maioria dos ataques cibernéticos bem-sucedidos em todas as formas de pela segurança cibernética:
tecnologia.
• Quase um quarto (24%) afirma que a tecnologia deve proteger a
Atitudes gerais organização contra ataques cibernéticos.
No Norton Cyber Safety Insights Report de 2021, 79% dos australianos, • 21% acreditam que a responsabilidade é do departamento de TI.
77% dos neozelandeses e 73% dos japoneses concordaram que “o trabalho • 11% acreditam que a responsabilidade é do governo.
remoto tornou muito mais fácil para atacantes e criminosos cibernéticos
se aproveitarem das pessoas”. Além disso, mais da metade dos adultos O treinamento sobre segurança cibernética afeta a visão dos funcionários,
está mais preocupada do que nunca com o fato de ser vítima de crimes tornando-os mais suscetíveis a assumir a responsabilidade pela sua própria
cibernéticos, mas uma proporção semelhante não sabe como se proteger função de manter a organização segura. Aqueles que receberam treinamento
desses crimes. tendem a acreditar que a responsabilidade é do funcionário (16%) em
comparação com aqueles que não receberam treinamento (11%).
Em toda a região APAC, as pessoas estão buscando ativamente orientações
e informações sobre como aumentar sua segurança on‑line e proteger sua Em contraste, aqueles que nunca receberam treinamento tendem a acreditar
privacidade. Infelizmente, elas geralmente não sabem a quem recorrer ou que a responsabilidade é do departamento de TI (29% contra 17%).
como fazer.
Pontos principais
A realidade é que as ameaças cibernéticas são tão difundidas que manter
indivíduos e empresas seguros exige um esforço conjunto do governo, de Nossa pesquisa anual de 2021 sobre a APAC aponta que sete em 10 (70%) dos
líderes empresariais, de departamentos de TI e dos funcionários. Não existe responsáveis pelas decisões de TI acham que os governos da Austrália e de
uma solução de tecnologia mágica ou milagrosa que proteja seus negócios. Singapura deveriam fazer mais para proteger as empresas contra ataques
Todo mundo precisa se informar sobre as possíveis ameaças e como evitá-las. cibernéticos. Além disso, apenas 52% desses responsáveis pelas decisões
de TI afirmam estar confiantes de que entendem as responsabilidades de
A pesquisa anual da KnowBe4 de 2021 sobre a APAC indica que menos da sua organização em relação aos relatórios governamentais de incidentes
metade (45%) dos responsáveis pelas decisões de TI da região acredita que cibernéticos e violações de dados.
todos têm a responsabilidade de proteger a organização contra os ataques
cibernéticos. Os líderes de TI e as empresas na região APAC não sentem apoio por parte
do governo em relação a questões de segurança e acreditam que o governo
deveria fazer mais, como:
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
PONTOS PRINCIPAIS Relatório global de benchmark de Phishing por setor de 2022 25
• Toda organização corre um sério risco quando não conta com um treinamento de conscientização em segurança atualizado. Com uma PPP basal
média do setor de 32,4%, as organizações podem expor um terço de sua força de trabalho a golpes de engenharia social e phishing a qualquer momento.
• Qualquer organização pode reforçar a segurança por meio de um treinamento de usuário final em apenas de três meses. O valor de um bom
programa de treinamento é estabelecer uma cadência consistente de simulação de phishing e educação em engenharia social em um período curto.
• Uma estratégia eficaz de treinamento de conscientização em segurança pode ajudar a acelerar os resultados para todas as organizações.
A dificuldade que alguns líderes empresariais têm de implementar o treinamento de segurança de maneira eficaz em toda a organização não surpreende
em nada. Os líderes podem se preparar para o sucesso depois de uma avaliação de seus objetivos e do planejamento de uma estratégia organizacional
antes de lançar o treinamento.
Porcentagem de Phish-prone™
30% Porcentagem inicial de Phish-Prone
programas devem contar com: (propensão ao phishing) antes do treinamento
0%
Fonte: Relatório de benchmark de phishing por setor de 2022 da KnowBe4 0 1 2 3 4 5 6 7 8 9 10 11 +12
Período de treinamento
Observação: a porcentagem de Phish-prone inicial é calculada com base em todos os usuários avaliados. Esses usuários não
receberam nenhum treinamento no console da KnowBe4 antes da avaliação. Os outros intervalos refletem as Porcentagens de Phish- Meses
prone dos usuários que receberam treinamento no console da KnowBe4. Com base em 9,5 milhões de usuários
Fonte: 2022 KnowBe4 Phishing by Industry Benchmarking Report (Relatório da KnowBe4 de comparação de phishing por indústria em 2022)
Observação: a porcentagem inicial de Phish-Prone (propensão ao phishing) é calculada com base em todos os usuários avaliados.
Eles não receberam nenhum treinamento no console da KnowBe4 antes da avaliação. Os outros intervalos refletem as porcentagens de
Phish-Prone dos usuários que receberam treinamento no console da KnowBe4.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Pontos principais
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
PONTOS PRINCIPAIS PARA A EMPRESA Relatório global de benchmark de Phishing por setor de 2022 26
Participantes ocasionais
Os executivos de Segurança e Gerenciamento
de riscos podem garantir o sucesso de seus
programas pelas seguintes iniciativas:
• Promover uma cultura de segurança: o elemento humano
é a parte mais crítica da infraestrutura de segurança de uma
organização. Todos os funcionários devem entender qual é sua função • Envolver o trabalho de um profissional: o conteúdo de conscientização
em segurança é diferente de qualquer outro. O conhecimento não
e sua responsabilidade para proteger a organização e se protegerem
está apenas no design do conteúdo, mas também na garantia de
de um ataque cibernético. Cultura de segurança, conforme definição
que esse conteúdo proporcione uma experiência de aprendizado
da KnowBe4, são ideias, costumes e comportamentos sociais que
positiva e, consequentemente, uma mudança de comportamento
influenciam a segurança de uma organização. Os executivos precisam
segura e favorável. Em um setor em que o conteúdo é a prioridade, a
tomar a iniciativa de promover um ambiente adequado para a
recomendação é fazer parceria com um fornecedor capaz de oferecer
segurança, investindo tanto no foco de seu programa de treinamento
a você diversas nuances, versões e variedades que atraiam todos os
e conscientização em segurança quanto no nível de preparo de
diferentes estilos de aprendizado. Apresentar a seu público um estilo
suas pessoas.
de aprendizado único limita a experiência, o consumo de material e a
• Ser o exemplo de comportamento: se você espera que sua organização retenção geral. Pode parecer tentador usar seu departamento interno
faça tudo certo, sua liderança deve ser um exemplo a ser seguido. de treinamento para liderar o desenvolvimento desse programa ou fazer
Os executivos devem participar ativamente de todos os aspectos da parceria com um fornecedor que trabalhe com uma abordagem única
conscientização em segurança em toda a organização, o que inclui para todos. As duas opções levarão a uma incapacidade de longo prazo
participar dos mesmos requisitos de treinamento de conscientização em de moldar os pensamentos e as ações relacionados à segurança do
segurança que do restante de seus funcionários. seu público.
• Pensar como um profissional de marketing: em paralelo com o executivos de segurança e gerenciamento de riscos podem temer uma
conteúdo e as campanhas de simulação de phishing, adicione mensagens frequência excessiva, mas, na verdade, isso ajuda a formar o nível certo
frequentes e relevantes na forma de materiais de apoio auxiliares de “memória muscular” de segurança para combater as estratégias de
(pôsteres, sinalização digital, boletins informativos etc.) e encontre ataque agressivas e dinâmicas, tanto hoje como no futuro.
oportunidades durante reuniões e apresentações entre equipes para
reforçar os pontos principais. Promover um “almoço com aprendizado”
• Contratar as pessoas certas: os programas de conscientização em
segurança são geralmente liderados por profissionais de segurança
para os funcionários e alguns exercícios de discussão durante as reuniões
que foram escolhidos para assumir a tarefa que ninguém queria fazer
de liderança é um jeito atrativo de propagar informações e interagir
ou que tinham tempo extra para assumir essa “coisa de treinamento”.
diretamente com seu público.
Entretanto, gerenciar um programa dessa magnitude exige certo nível
• Mobilizar um programa de “Portador da cultura” de segurança: de experiência e conhecimento. Envolva candidatos criativos, que
muitos programas de segurança e risco não têm os recursos necessários estejam cientes do desenvolvimento organizacional e das mudanças de
para engajar apropriadamente uma organização global. Os programas de comportamento por meio do aprendizado.
“portador da cultura” de segurança podem ter nomes diferentes, como
“Champions de segurança”, “Embaixadores de segurança”, “Contatos de
• Definir objetivos: determine com antecedência quais são os critérios
de sucesso do seu programa e como você fará a
segurança”, “Influenciadores de segurança” etc. Independentemente do mensuração. Caso contrário, é impossível medir
nome que você atribuir, um programa de portador da cultura envolve a eficácia do programa e determinar seu
uma equipe de defensores distribuídos na organização que pode reforçar valor inerente.
as mensagens de segurança e o aprendizado em níveis locais. O fator
de responsabilidade também entra em jogo aqui. Muitos funcionários • Mensurar com eficácia: o uso de métricas
acreditam que gerar a conscientização em segurança é responsabilidade que reforçam os comportamentos
de alguém. Com a participação de influenciadores locais por meio da desejados é importante para ajudar
indicação de um gerente ou por voluntariado, você cria uma rede de a proteger sistemas, funcionários
pessoas encarregadas pela segurança que podem se relacionar com e dados. Não caia na armadilha
as comunidades locais e começar a ajudar a moldar a cultura geral de de selecionar muitos critérios de
segurança. mensuração, pois isso só leva à avaliação
de áreas irrelevantes e/ou à entrega
• Adicionar testes de simulação de phishing: como já abordamos nesta insuficiente dos resultados organizacionais
pesquisa, ao adicionar campanhas frequentes de simulação de phishing prometidos. Empregar dados mensuráveis e
ao seu programa geral de conscientização em segurança, você aumentará treinamentos que possam ser frequentemente
a resiliência de comprometimento de seus funcionários e também a quantificados e qualificados é primordial. Além disso,
capacidade deles de detectar um e-mail suspeito. as métricas do programa devem estar alinhadas aos objetivos gerais de
• Aumentar a frequência: o tempo todo, ou você adquire forças, segurança organizacional e aos objetivos corporativos.
ou permitirá a atrofia. Nossa pesquisa aponta que a maioria das
organizações que não vê uma mudança de comportamento favorável
• Motivar os funcionários: aja com intenção e consistência em sua forma
de usar reforços positivos e negativos para incentivar seu público a
limita seus programas (tanto de conteúdo quanto de simulação de concluir o treinamento necessário, aderir às políticas de segurança e
phishing) a uma frequência anual, semestral ou trimestral. Com a pouca demonstrar um comportamento contínuo, favorável e seguro. O uso
frequência na aplicação dos testes, você está, basicamente, realizando de motivadores aumenta a responsabilização e a função geral dos
testes basais momentâneos que não podem ser comparados de maneira funcionários em aderir a uma cultura mais segura.
significativa. A recomendação é fornecer ao seu público um conteúdo
mensal e campanhas de simulação de phishing (duas vezes por mês para
alvos de risco alto). É preciso haver uma cadência regular para viabilizar
o condicionamento apropriado e a mudança de comportamento. Os
COMO COMEÇAR
A KnowBe4 ajuda dezenas de milhares de profissionais
1 Realize testes basais: a realização de um teste basal é o primeiro passo
para demonstrar a necessidade de treinamento de conscientização em
segurança para a liderança sênior da organização. É um teste que avalia
de TI como você a aprimorar sua segurança cibernética
em áreas como finanças, energia, saúde, governo, a Porcentagem de Phish-prone de seus usuários. Também são dados
seguros e muito mais. necessários para a mensuração do sucesso futuro.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Como começar
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
COMO COMEÇAR Relatório global de benchmark de Phishing por setor de 2022 29
04 Dê relevância
As pessoas se importam com o que é relevante para elas. Portanto, suas simulações de ataque
devem afetar as atividades diárias de um funcionário.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Como começar
Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
CRIE SEU FIREWALL HUMANO
Teste de phishing gratuito
Pronto para aplicar um golpe de phishing em seus usuários? Faça este teste de phishing gratuito e descubra qual é a Porcentagem de Phish-prone
de seus funcionários. Além disso, veja a comparação com seus pares usando os benchmarks de phishing por setor! Com o teste de phishing da
KnowBe4, você pode obter os mesmos resultados finais do estudo.
No Brasil, somos El Pescador, uma empresa KnowBe4 | Av. Ibirapuera, 2315 - 14º andar - SL. 142 CEP 04029-200 | São Paulo-SP | www.KnowBe4.com |
contato@elpescador.com.br | Telefone: 55 (11) 39584207
© 2022 KnowBe4, Inc. Todos os direitos reservados. Os nomes de outros produtos e empresas mencionados aqui são marcas comerciais e/ou marcas registradas de suas
respectivas empresas.
11C06K04