Phishing Setor: Relatório de Benchmark E D I Ç Ã O D E 2 0 2 2

PHISHING POR
SETOR
REL ATÓRIO DE BENCHMARK | EDIÇÃO DE 2022
INTRODUÇÃO Relatório global de benchmark de Phishing por setor de 2022 2
De acordo com o Relatório de investigações sobre violação de dados da Verizon de

2022, “o elemento humano continua gerando violações. Neste ano, 82% das violações
envolveram o elemento humano. Seja pelo uso de credenciais roubadas, por phishing,
pelo uso indevido ou apenas por um erro, as pessoas continuam contribuindo muito
para os incidentes e as violações que ocorrem.”
INTRODUÇÃO Muitas organizações primeiro recorrem à tecnologia como recurso

para combater os criminosos cibernéticos, sem considerar que investir
em conscientização e intervenção humana é igualmente, se não mais,
A camada humana continua sendo o vetor de ataque mais atrativo para importante. De acordo com o Relatório de investigações sobre violação de
os criminosos cibernéticos. Infelizmente, muitas organizações continuam dados da Verizon de 2022, 82% de todos os incidentes de segurança envolvem
negligenciando esse ponto de entrada de fácil penetração. No decorrer de um elemento humano, o que prova como as pessoas podem ser suscetíveis.
2021, observou-se um grande aumento anual no número de ataques de
phishing no mundo todo. Não houve verticais do setor, porte de empresa Os líderes em segurança que continuam a investir exclusivamente em
ou regiões que tenham sido poupados. A camada humana sofreu ataques tecnologias sofisticadas e orquestração de segurança correm o risco de
nas esferas profissional e pessoal. Os criminosos cibernéticos não fazem ignorar uma melhor prática comprovada para reduzir sua vulnerabilidade: o
distinção de suas vítimas, pois os ataques meticulosamente projetados têm treinamento de conscientização em segurança aliado a testes de simulação
como alvos os humanos no trabalho e no lazer, dia ou noite, por meio de de engenharia social frequentes. Além de ajudar a elevar o nível de preparo
vários tipos de engenharia social. dos humanos para combater o crime cibernético, essa abordagem estabelece
a base crítica e necessária para criar uma cultura sólida de segurança em
O Internet Crime Complaint Center (IC3) do FBI recebeu um número recorde toda a organização.
de queixas do público norte-americano: 847.376 queixas registradas, ou seja, 7%
de aumento em relação a 2020, com possíveis perdas que ultrapassam US$ 6,9 Enquanto o mundo, enfim, começa a emergir da pandemia de COVID-19, os
bilhões. Além disso, incidentes envolvendo o comprometimento de e-mails ataques de engenharia social continuam aumentando. E-mails, chamadas
comerciais representaram 19.954 queixas, com uma perda ajustada de quase telefônicas, mensagens de texto, redes sociais e outros métodos de alcance
US$ 2,4 bilhões. E esses foram apenas os incidentes denunciados. atuam em conjunto para burlar a infraestrutura segura de uma organização,
pois as forças de trabalho e os indivíduos estão mais distraídos e expostos do
Os setores se empenham em desenvolver melhor sua camada de defesa que nunca.
humana para detectar, proteger e denunciar ações suspeitas antes que seja
tarde demais e que seus sistemas sejam comprometidos.
Intodução Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais

Intodução Pontos principais Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para a empresa
ESTUDO DE BENCHMARK DE PHISHING POR SETOR Relatório global de benchmark de Phishing por setor de 2022 3
A distração pode facilmente levar a um desastre. Com o aumento dos casos Para ajudar as organizações a avaliar sua PPP e entender as considerações
de phishing, a mentalidade e as ações dos funcionários são fundamentais de sua classificação, a KnowBe4 realiza um estudo anual para fornecer um
para a postura de segurança de qualquer organização. Os líderes de benchmark definitivo de Phish-prone entre os setores. Categorizado por
segurança precisam saber o que acontece quando seus funcionários recebem vertical de setor e porte da organização, o estudo revela padrões que podem
e-mails de phishing: eles tendem a clicar no link? São enganados e acabam iluminar o caminho para um futuro mais sólido e seguro.
inserindo suas credenciais? Baixam anexos que contêm malware? Apenas
ignoram o e-mail ou o excluem sem notificar o empregador? Ou será que
denunciam uma suspeita de phishing e participam ativamente da camada de
defesa humana? ESTUDO GLOBAL DE BENCHMARK DE
A suscetibilidade dos funcionários da organização a esses ataques de PHISHING POR SETOR DE 2022
phishing é conhecida como Porcentagem de Phish-prone™ (PPP). Quando o
risco de phishing é convertido em termos mensuráveis, os líderes conseguem Toda organização tem dificuldade de responder a uma pergunta básica: “Em
quantificar a probabilidade de violação e adotar um treinamento capaz de que nível está a minha organização quando comparada a outras do mesmo
reduzir a superfície humana de ataque. tipo?”. Para dar uma resposta precisa e diferenciada, o Estudo de benchmark
de phishing por setor de 2022 analisou um conjunto de dados de mais de 9,5
milhões de usuários, em 30.173 organizações, com mais de 23,4 milhões de
Definição do risco por setor testes de simulação de phishing, em 19 setores diferentes.
A PPP de uma organização indica quantos de seus funcionários tendem a
cair em golpes de engenharia social ou phishing. São aqueles funcionários
Metodologia para o estudo deste ano
que podem se deixar enganar e clicar em um link, que abrem um arquivo Todas as organizações foram categorizadas por tipo de setor e porte. Para
infectado com malware ou transferem fundos da empresa para a conta calcular a PPP de cada organização, mensuramos o número de funcionários
bancária de um criminoso cibernético. Uma PPP alta indica um risco maior, que clicaram em um link de e-mail de phishing simulado ou abriram um
pois aponta para um número mais alto de funcionários que costumam cair anexo infectado durante uma campanha de teste que usou a plataforma
nesses golpes. O ideal é uma PPP baixa, pois indica que os funcionários estão da KnowBe4.
atentos à segurança e sabem reconhecer e conter essas tentativas.
Em nosso relatório de 2022, continuamos observando as três seguintes fases
Em resumo, uma PPP baixa significa que a camada de segurança humana de benchmark:
da organização representa um ponto forte, e não fraco. A PPP geral agrega
ainda mais valor quando é colocada em contexto. Depois de observarem • Fase um: resultados basais do teste de phishing
a PPP, os líderes costumam perguntar: “Em que nível está a minha
organização quando comparada a outras?” e “O que podemos fazer para • Fase dois: resultados do teste de phishing em 90 dias de treinamento
reduzir nossa Porcentagem de Phish-prone e oferecer mais recursos à nossa • Fase três: resultados do teste de phishing depois de um ano ou mais de
camada humana?” treinamento contínuo
A KnowBe4, fornecedora da maior plataforma de treinamento de

conscientização em segurança e simulação de phishing do mundo, já ajudou
dezenas de milhares de organizações a reduzir suas vulnerabilidades
treinando suas equipes para reconhecer e reagir adequadamente a
golpes comuns.
Estudo de benchmark
Estudo de benchmark
de Phishing por setorde Calculando a porcentagem Benchmarks internacionais Pontos principais
ANÁLISE DE IMPACTO DO TREINAMENTO

Para entender o impacto do treinamento de conscientização em segurança, mensuramos os resultados nesses três pontos de contato para responder às
seguintes perguntas:
FASE UM FASE DOIS FASE TRÊS
1 2 3
Se os usuários não tiverem Qual será a PPP Qual será a PPP final
recebido treinamento e resultante depois que os resultante depois que
você enviar um ataque de usuários concluírem o os usuários fizerem o
phishing, qual será a PPP treinamento e receberem treinamento contínuo
inicial resultante? os testes de simulação de e os testes mensais de
phishing em 90 dias após simulação de phishing?
o treinamento?
Para isso, monitoramos a suscetibilidade Para responder a essa pergunta, Para responder a essa pergunta,
do funcionário em um teste basal inicial identificamos quando os usuários mensuramos as habilidades de
de simulação de phishing. Com base em concluíram o primeiro treinamento e conscientização em segurança após
um conjunto estabelecido de usuários, procuramos todos os eventos de phishing 12 meses ou mais de treinamento
observamos quando um usuário é em até 90 dias depois da conclusão do contínuo e testes de simulação de
reprovado no teste de simulação de treinamento. phishing, procuramos usuários que
phishing antes de ter realizado qualquer tenham concluído o treinamento há, pelo
treinamento. menos, um ano e usamos os resultados
de desempenho no teste de phishing
mais recente que eles fizeram.
Estudo de benchmark
Estudo de benchmark
METODOLOGIA E CONJUNTO DE DADOS

FAIXAS DE PORTE DA
23,4
19 SETORES
ORGANIZAÇÃO
Bancos
milhões 22.558 Serviços comerciais
de testes organizações Construção

de phishing
Consultoria
Serviços ao consumidor
Educação
5.876
9,5
Energia e serviços públicos
Serviços financeiros
organizações
Governo
milhões Saúde e produtos farmacêuticos
de usuários
1.709
Hospitalidade
Seguros
organizações
Jurídico
30,1
Manufatura
Organizações sem fins lucrativos
Outro
mil Atacado e varejo

organizações
Tecnologia
1 A 249 250 A 999 MAIS DE 1.000 Transporte
Estudo de benchmark
Estudo de benchmark
Quem corre risco?

QUEM CORRE RISCO: CLASSIFICAÇÃO DE Os três principais setores por porte de organização
VULNERABILIDADE POR SETOR
Os resultados entre os 9,5 milhões de usuários destacam uma verdade
PEQUENO MÉDIO GRANDE
muito familiar para as organizações: a falta de treinamento eficiente deixa 1 a 249 250 a 999 Mais de 1.000
os usuários e a organização despreparados e vulneráveis a ataques de
engenharia social. Os dados de Porcentagem de Phish-prone, embora
sutilmente mais favoráveis do que em 2021, ainda mostram que nenhum 32,7% 39,4% 52,3%
setor, independentemente do porte da organização, sabe reconhecer as Educação Hospitalidade Seguros
táticas de phishing e engenharia social dos criminosos cibernéticos. Quando
os usuários não passam por testes ou treinamentos, os testes basais iniciais
de phishing mostram como os usuários desses setores ficam suscetíveis a se
tornarem vítimas de um golpe de phishing e a colocarem suas organizações
32,5% 36,6% 52,2%
Saúde e produtos Saúde e produtos Consultoria
em risco de possível comprometimento. farmacêuticos farmacêuticos
A média basal geral da PPP em 2022 entre todos os setores e portes de

organizações foi de 32,4%, um ponto a mais em relação a 2021. As tendências
31,5% 34% 50,9%
Atacado e Energia e Energia e
variaram entre os diferentes setores, o que revelou a dolorosa verdade de varejo serviços públicos serviços públicos
que usuários não treinados são reprovados como a última linha de defesa da
organização contra ataques de phishing.
• Entre as pequenas organizações (1 a 249 funcionários), o setor de • Entre as grandes organizações (mais de 1.000 funcionários), o setor de
Educação, embora ligeiramente melhor do que em 2021, embarca Energia e serviços públicos saiu da dianteira e deu lugar ao setor de
em 2022 com uma PPP de 32,7%. O setor de Saúde e produtos Seguros (que ficou em segundo em 2021) com uma PPP de 52,3%. O
farmacêuticos vem na sequência, com uma PPP de 32,5%. Tirando o setor de Consultoria, que é novo na classificação, veio em seguida, com
setor das Organizações sem fins lucrativos do último lugar vem o setor de uma PPP de 52,2%, enquanto Energia e serviços públicos completou o
Atacado e varejo com uma PPP de 31,5%. grupo, com uma PPP de 50,9%. O setor de Bancos não aparece entre os
três principais em 2022.
• Entre as organizações de médio porte (250 a 999 funcionários), os três
principais setores de 2021 permaneceram. O setor de Hospitalidade • O vencedor do benchmark de Phish-prone mais baixo entre as pequenas
manteve a PPP de 39,4% de 2021. Energia e serviços públicos e empresas (1 a 249 funcionários) foi o setor de Bancos, com uma PPP de
Saúde e produtos farmacêuticos trocaram de posição, sendo que a 25,4%; entre as organizações de médio porte foi o setor de Governo,
segunda apresentou uma PPP de 36,6% e o setor de Energia e serviços com uma PPP de 26,4%; já entre as grandes organizações foi o setor
públicos teve uma PPP de 34%. Convém observar que os três setores de Hospitalidade, com uma PPP de 20,4%. Embora sejam os mais
tiveram PPPs mais sólidas em relação às classificações de 2021, embora baixos, esses resultados de PPP são um forte indicativo de que uma
continuem sendo os setores de risco mais alto. base de usuários não treinada ainda está vulnerável a cair em ataques
de phishing.
Estudo de benchmark
Estudo de benchmark
CALCULAR A PORCENTAGEM DE PHISH-PRONE™ POR SETOR
Fase um
32
Relatório global de benchmark de Phishing por setor de 2022 7
FASE UM: RESULTADOS BASAIS DO TESTE ,4% Resultados basais

iniciais do teste
de phishing
DE PHISHING
Porte da organização PPP inicial
O teste basal inicial de phishing foi administrado em organizações que nunca tinham
realizado um treinamento de conscientização em segurança com a plataforma 1 a 249 28,8%
da KnowBe4. Sem qualquer aviso, os testes foram realizados com usuários não 250 a 999 30,2%
treinados, durante os dias normais de trabalho. Os resultados continuam indicando Mais de 1.000 35,2%
níveis de risco alto ano a ano:
• Entre todos os setores e portes, a Porcentagem de Phish-prone média foi de

Setor 1 a 249 250 a 999
Mais de
1.000
32,4%, um ponto a mais em relação a 2021. Isso significa que um em três funcionários funcionários
funcionários
funcionários foi suscetível a clicar em um link ou e-mail suspeito ou
atender a uma solicitação fraudulenta, praticamente o mesmo resultado do Bancos 25,4% 27,3% 43,5%
ano passado.
Serviços comerciais 27,4% 30% 29,2%
• Os dados de 2022 mostraram que a melhoria mais significativa foi observada
Construção 29,6% 32,9% 37%
em grandes empresas de Construção, cuja PPP passou positivamente de 42,7%
para 37%. Em contrapartida, o declínio mais relevante foi visível em grandes Consultoria 27,5% 30,6% 52,2%
empresas de Consultoria, cuja PPP passou negativamente de 28,4% em 2021 Serviços ao consumidor 30,4% 29,1% 24,3%
para 52,2% em 2022.
Educação 32,7% 29,3% 28,4%
• O mais preocupante são as PPPs dos seguintes setores da categoria de empresas
de grande porte, todas acima de 40%: Bancos 43,5%, Saúde e produtos Energia e serviços públicos 29,4% 34% 50,9%
farmacêuticos 45%, Energia e serviços públicos 50,9%, Consultoria 52,2% Serviços financeiros 26,4% 28,7% 35,9%
e Seguros 52,3%. Isso significa que os funcionários dessas categorias estão
sob risco alto de cair em ataques de engenharia social, alguns chegando a uma Governo 28% 26,4% 24,8%
marca impressionante de mais de 50%. Saúde e produtos farmacêuticos 32,5% 36,6% 45%
Considerações: à medida que as ameaças cibernéticas aumentam, a comunicação Hospitalidade 28,5% 39,4% 20,4%
dessas ameaças está sendo filtrada para as massas por meio das redes sociais/
Seguros 26,2% 30,3% 52,3%
notícias. Em algumas áreas, as pessoas têm mais informações sobre elas, então sua
conscientização aumenta mais organicamente. A pergunta que fica é: será que essa Jurídico 27,3% 27,6% 29,2%
conscientização de nível básico passará para o local de trabalho e se tornará mais Manufatura 29,5% 29,5% 33,1%
desenvolvida e instintiva depois de um treinamento? Sem treinamento e reforço
frequente, toda organização, independentemente de porte e vertical, está suscetível Organização sem fins lucrativos 29,6% 30,8% 36,5%
a ataques de phishing e engenharia social. As forças de trabalho em todos os setores Outro 30,5% 31,9% 26,8%
representam uma possível porta para os invasores, não importa quão alto seja o
investimento em tecnologias de segurança de nível mundial. Atacado e varejo 31,5% 30,6% 38,6%
Tecnologia 26,7% 28,2% 33,2%
Transporte 27% 32% 24,8%
Calculando a porcentagem
Estudo de benchmark de Calculando a porcentagem
de Phish-prone™ por setor Benchmarks internacionais Pontos principais
Fase dois
17
Relatório global de benchmark de Phishing por setor de 2022
FASE DOIS: RESULTADOS DO TESTE DE

PHISHING EM 90 DIAS DE TREINAMENTO ,6% Resultados do teste de
phishing em 90 dias de
treinamento
Quando as organizações implementaram uma combinação de treinamento e testes
de simulação de phishing após a mensuração basal inicial, os resultados mudaram Porte da organização PPP de 90 dias
drasticamente. Descobrimos que, depois que os usuários concluem o primeiro 1 a 249 17,5%
evento de treinamento, os resultados do teste de simulação de phishing até 90 250 a 999 17,9%
dias após a conclusão do treinamento são mais favoráveis. Nesses 90 dias depois Mais de 1.000 17,4%
da conclusão dos eventos de treinamento, a média da Porcentagem de Phish-
prone foi reduzida quase que pela metade (17,6%), consistente com os estudos
dos três últimos anos. A queda expressiva na Porcentagem de Phish-prone não foi Mais de
específica a um setor ou porte de organização, mas, vejamos alguns pontos de dados Setor 1 a 249 250 a 999
1.000
funcionários funcionários
interessantes: funcionários
Bancos 12,3% 13,6% 15,6%

• A redução mais significativa ocorreu nas seguintes organizações. Pequeno porte
Serviços comerciais 18,3% 18,6% 17,7%
(1 a 249 funcionários): o setor de Educação teve uma queda de 46% do basal
de 32,7% para 17,9% em 90 dias após o treinamento. Médio porte (250 a 999 Construção 19,5% 20% 15,8%
funcionários): o setor de Hospitalidade teve uma queda de 51% do basal de
39,4% para 19,4% em 90 dias após o treinamento. E grande porte (mais de 1.000 Consultoria 17,5% 20,1% 21,3%
funcionários): o setor de Seguros teve uma queda de 67% do basal de 52,3% Serviços ao consumidor 18,8% 21% 16,1%
para 17,3% em 90 dias após o treinamento, depois de registrar uma das PPPs
basais iniciais mais altas. Educação 17,9% 18,5% 18,8%
• A queda significativa de 32,4% para 17,6% em todos os setores é a prova de Energia e serviços públicos 16,8% 17,2% 16,4%
que um programa de treinamento de conscientização em segurança pode trazer Serviços financeiros 15,1% 16% 19,1%
muitos benefícios para a criação de uma camada de defesa humana sólida como
parte da sua postura de segurança de TI de defesa aprofundada, mesmo nos Governo 16% 15,5% 15,2%
três primeiros meses. Saúde e produtos farmacêuticos 19,7% 19,1% 17,2%
Considerações: depois de aplicar apenas 90 dias de treinamento atualizado Hospitalidade 19,7% 19,4% 12,2%
de conscientização em segurança, observamos uma melhoria significativa nas Seguros 17,7% 17,5% 17,3%
habilidades dos funcionários de detectar e-mails maliciosos em todos os setores
e portes de organização. Imagine um plano de dieta para perda de peso. São pelo Jurídico 16,5% 15,9% 13%
menos 90 dias para começarmos a ver os resultados. Nesse mesmo cronograma, Manufatura 17,7% 17% 16,5%
seus funcionários recém-treinados no programa de 90 dias podem reduzir quase
que pela metade a possibilidade de sua organização sofrer violações devastadoras Organização sem fins lucrativos 20,3% 20,8% 18,2%
na marca/receita. É um investimento de 90 dias para elevar os níveis de preparo e Outro 19% 21,4% 20,1%
diminuir o risco. Assim como acontece em qualquer mudança significativa, leva-se
Atacado e varejo 18,3% 18,1% 18,1%
tempo para eliminar velhos hábitos e adquirir novos. No entanto, quando esses
novos hábitos são adquiridos, eles passam a ser o novo normal, a fazer parte da Tecnologia 18,9% 18,8% 19,2%
cultura organizacional e influenciar o comportamento das outras pessoas, em
Transporte 18,5% 18,7% 16,5%
especial dos novos contratados, que recorrem aos veteranos para saber o que é
social e culturalmente aceitável na organização.
Fase três
5
Relatório global de benchmark de Phishing por setor de 2022 9
FASE TRÊS: RESULTADOS DO TESTE DE

PHISHING DEPOIS DE UM ANO OU MAIS DE % Resultados do teste
de phishing depois de
um ano ou mais de
TREINAMENTO CONTÍNUO treinamento contínuo
Porte da organização PPP de 12 meses
Nesta fase, mensuramos as habilidades de conscientização em segurança após
1 a 249 3,8%
12 meses ou mais de treinamento contínuo e testes de simulação de phishing.
250 a 999 5%
Procuramos usuários que tenham concluído o treinamento há pelo menos um ano e
Mais de 1.000 5,8%
analisamos os resultados de desempenho no teste de phishing mais recente que eles
fizeram. Os resultados continuam sendo expressivos ano após ano, mostrando que
ter um programa de treinamento de conscientização consistente e maduro reduziu a Mais de
PPP média de 32,4% para 5%. Esses resultados foram demonstrados de maneira Setor 1 a 249 250 a 999
1.000
funcionários funcionários
significativa entre todos os portes e todas as verticais dos setores. funcionários
Bancos 2,6% 3,3% 3,4%

Pelo segundo ano, a PPP mais baixa em organizações de pequeno porte (1 a
249 funcionários) foi a do setor de Bancos, que ficou em 2,6%. Além disso, pelo Serviços comerciais 3,8% 5% 6%
segundo ano, o setor de Bancos teve a pontuação de PPP mais baixa na categoria
Construção 4,1% 4,8% 4,6%
de organizações de médio porte (250 a 999 funcionários) com 3,3%. Na categoria de
organizações de grande porte (mais de 1.000 funcionários), também pelo segundo Consultoria 3,8% 4,8% 4,9%
ano, o setor de Hospitalidade teve uma pontuação de 1,3%, uma redução favorável Serviços ao consumidor 4,7% 4,7% 3,3%
de 4% em relação a 2021. Considerando que o setor de Bancos é um dos que mais
sofre ataques e um dos mais regulamentados, os resultados são, certamente, Educação 4,1% 5,4% 6,5%
baseados nas experiências que já tiveram com o crime cibernético e na diligência que Energia e serviços públicos 3,4% 5% 3,6%
aplicaram ao treinamento.
Serviços financeiros 3,7% 4,9% 5,5%
Depois de comparar os dados, os setores que demonstraram a maior melhoria
Governo 3,9% 3,9% 7,1%
holística foram os da categoria de grande porte (mais de 1.000 funcionários): O setor
de Energia e serviços públicos, que passou de uma PPP de benchmark de 50,9% Saúde e produtos farmacêuticos 4,1% 5,1% 5,9%
para 3,6% depois de, pelo menos, 12 meses de treinamento de conscientização Hospitalidade 4,4% 5,6% 1,3%
em segurança (uma redução de 93%) e o setor de Consultoria, que passou de
uma PPP de benchmark de 52,2% para 4,9%, uma redução de 91%. O setor Seguros 3,3% 4% 5,3%
de Energia e serviços públicos, que sofreu um dos maiores ataques cibernéticos Jurídico 4,1% 5,2% 5,6%
em uma infraestrutura de petróleo da história dos Estados Unidos (Colonial
Pipeline), continua sendo um alvo de alto perfil e alta destruição para os criminosos Manufatura 3,3% 5,3% 6,2%
cibernéticos. O setor de Consultoria também é altamente visado. Em agosto de 2021, Organização sem fins lucrativos 4,1% 4,9% 4,5%
um dos maiores grupos globais de consultoria foi atingido por um ataque maciço
de ransomware no valor de US$ 50 milhões pelo grupo LockBit, com a ajuda de uma Outro 3,2% 4% 6,2%
fonte interna (ameaça interna). Atacado e varejo 3,6% 5,3% 4,7%
Tecnologia 4,7% 5,9% 7,2%
Transporte 4,1% 9,6% 4,5%
85
Melhoria média
Relatório global de benchmark de Phishing por setor de 2022
ÍNDICES DE MELHORIA MÉDIA EM TODOS OS

SETORES E PORTES DE ORGANIZAÇÃO
Fica evidente que, após um ano ou mais de treinamento de conscientização
%Índice de melhoria média
em todos os setores e
em segurança combinado com testes frequentes de simulação de phishing,
as organizações de todos os portes e setores melhoraram drasticamente. portes de organização
Organizações com 1 a 249 funcionários continuaram alcançando a mais alta
melhoria geral, em que 17 de 19 setores chegam a 85% ou mais.
Mais de
Entre as organizações de médio porte, os índices de melhoria foram bons, Setor 1 a 249 250 a 999
1.000
sendo que 17 setores chegaram a 80% ou mais e dois setores ficaram funcionários funcionários
funcionários
ligeiramente abaixo de 80%. Entre as organizações de grande porte, 14 setores
atingiram índices de melhoria superiores a 80%, e o restante variou entre Bancos 90% 88% 92%
71% e 79%. Serviços comerciais 86% 83% 79%
Quando se observam todos os setores e portes, o índice de melhoria média Construção 86% 85% 88%
de 85%, partindo dos testes basais até um ano ou mais de treinamento Consultoria 86% 84% 91%
contínuo e testes, é uma prova impressionante da adesão alcançada
ao estabelecer um programa de treinamento de conscientização em Serviços ao consumidor 85% 84% 86%
segurança totalmente maduro. Educação 87% 82% 77%
Energia e serviços públicos 88% 85% 93%
Serviços financeiros 86% 83% 85%
Governo 86% 85% 71%
Segundo a KnowBe4, 32,4% dos Saúde e produtos farmacêuticos 87% 86% 87%
usuários não treinados de todos os Hospitalidade 84% 86% 93%
setores serão reprovados em um Seguros 87% 87% 90%
teste de phishing.
Jurídico 85% 81% 81%
Depois de treinados, somente 17,6% dos usuários Manufatura 89% 82% 81%
são reprovados em 90 dias após concluir o primeiro Organização sem fins lucrativos 86% 84% 88%
treinamento da KnowBe4. Depois de pelo menos um Outro 90% 87% 77%
ano na plataforma da KnowBe4, somente 5% dos Atacado e varejo 89% 83% 88%
usuários são reprovados em um teste de phishing. Tecnologia 83% 79% 78%
Transporte 85% 70% 82%
BENCHMARKS INTERNACIONAIS DE PHISHING Relatório global de benchmark de Phishing por setor de 2022 11
BENCHMARKS INTERNACIONAIS DE PHISHING EM 2022

No âmbito internacional, usamos um conjunto de dados um pouco diferente, que não inclui categorização por setores para determinar regionalmente os
benchmarks de phishing entre organizações de pequeno, médio e grande portes. Incluímos organizações em que um determinado país foi associado a uma
conta de cliente para poder ser incluído na análise de benchmark internacional. As mesmas fases de benchmarking usadas para mensurar as Porcentagens de
Phish-prone entre os setores foram utilizadas para o conjunto de dados internacional.
Fase um Fase dois Fase três

Resultados basais iniciais do Resultados do teste de phishing Resultados do teste de phishing
teste de phishing em 90 dias de treinamento depois de um ano ou mais de
treinamento contínuo
BASAL 9 0 DI A S 1 A NO
Mais de Mais de Mais de
Porte da organização 1 a 249 250 a 999 1 a 249 250 a 999 1 a 249 250 a 999
1.000 1.000 1.000
28,7% 30,2% 35,8% 17,4% 17,9% 17,4% 3,5% 4,6% 6%

América do Norte
TOTAL: 32,4% TOTAL: 17,5% TOTAL: 4,7%
30,2% 27,4% 32,4% 24,8% 21% 17,9% 8,1% 12,7% 4%
África
APAC 30,2% 32,6% 36,7% 21,1% 19,2% 15% 4,4% 6,2% 5,2%
R E G I Ã O
(Ásia, Oceania e Austrália) TOTAL: 34,5% TOTAL: 16,9% TOTAL: 5,4%

27,8% 28,2% 31,1% 17,9% 18,2% 18,9% 4,2% 6,7% 8%
Europa
30,9% 30% 45,6% 24,7% 22,2% 19,3% 1,8% 9,8% 0,8%
América do Sul
26,2% 27,7% 32,7% 16,7% 16,2% 17,5% 3,9% 4,3% 8,3%
Reino Unido e Irlanda
TOTAL: 30% TOTAL: 17% TOTAL: 5,5%
Benchmarks internacionais
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais
de Phishing Pontos principais
AMÉRICA DO NORTE Nas organizações cujos setores são

repletos de regulamentações, os
ataques bem-sucedidos são geralmente
Problemas mais predominantes revelados somente nos registros dos
demonstrativos financeiros do trimestre ou do ano.
Os ataques de ransomware claramente se destacam como uma das
maiores ameaças cibernéticas para organizações entre setores de todos Especificamente no México, sua economia em ascensão, aliada
os portes. Esse malware interrompe as operações da organização e expõe ao rápido crescimento digital, trouxe desafios persistentes,
publicamente as informações dos clientes e funcionários na Internet. Além que colocam a cultura da segurança cibernética à prova todos
disso, para muitas organizações, esse tipo de violação é de caráter bem os dias. De acordo com o Relatório de crimes na Internet
público, principalmente quando sites são desformatados, serviços são de 2021 publicado pelo FBI, o México foi o 13º país mais visado
suspensos e escritórios são fechados durante a recuperação. Esse caráter no mundo, em segundo lugar na América Latina, com um aumento
público do ransomware pode afetar gravemente a reputação de uma constante no número de incidentes denunciados nos últimos anos. Na
organização. seção da América do Sul deste relatório, estão disponíveis mais informações
sobre o México.
Tudo pode ficar muito pior quando as gangues de ransomware atingem
os clientes da organização vítima, usando a base de clientes como forma Impacto econômico
de aumentar a pressão para pagar os invasores. Diferentemente das
versões anteriores dos ataques de ransomware que eram quase que Com uma média de pagamento de ransomware de US$ 570.000 em 2021
completamente automatizadas, as variáveis modernas desse tipo de ataque e as perdas por BEC chegando a US$ 1,8 bilhão em 2020, segundo o FBI, é
geralmente envolvem uma interação humana significativa, que mapeia evidente que um ataque cibernético pode ser um evento terminal para várias
os sistemas mais importantes, criando backdoors e roubando os dados organizações. Embora o seguro cibernético possa ajudar um pouco, em uma
que causarão mais danos. Em alguns casos, sabe-se que os agentes mal- tentativa de controlar a perda de fundos relacionada a esses pagamentos,
intencionados revisam as apólices de seguro cibernético e as informações muitas seguradoras estão aumentando absurdamente as taxas, exigindo
financeiras para poder determinar melhor um resgate cujo valor eles sabem conformidade rigorosa com as melhores práticas, recusando-se a segurar
que a organização pode pagar. Essas atividades aumentam cada vez mais os as organizações em conjunto ou se empenhando para limitar o valor dos
pedidos de resgate. pagamentos no caso de um ataque cibernético bem-sucedido.
Além do ransomware, o Comprometimento de e-mail comercial (Business Os pedidos de resgate chegam a US$ 50 milhões ou mais, portanto,
Email Compromise, BEC), também conhecido como Fraude do CEO, continua pouquíssimas organizações podem ignorar a ameaça. Além disso, quando
ocorrendo de maneira desenfreada na América do Norte. São ataques que são vítimas de ataques de malware ou ransomware, as organizações
acontecem por phishing, vishing e smishing de e-mail e são muito eficientes. precisam arcar com custos significativos relacionados às etapas de perícia
Ao contrário do ransomware, esses ataques não costumam usar links digital necessárias para encontrar o vetor de infecção inicial e fechar as
maliciosos ou documentos infectados com malware que os controles técnicos backdoors deixadas pelos invasores. Se a organização não encontrar e lidar
conseguem sinalizar. Eles acontecem basicamente por engenharia social. De com todas as formas usadas pelos invasores, a reinfecção será apenas uma
solicitações de vales-presente a grandes transferências eletrônicas, esses questão de tempo.
ataques continuam atingindo organizações de todos os portes e em todos os
setores, diretamente no bolso. Perfil de negócio típico
Mesmo quando bem-sucedidos, esses ataques são bem menos visíveis ao Na América do Norte, organizações de todos os portes sofrem com a falta
público geral, pois geralmente não impedem as operações diárias. Por esse de recursos e fundos na guerra contra o crime cibernético. Isso acontece
motivo, são difíceis de detectar, a menos que a organização decida divulgar principalmente com organizações de pequeno e médio portes que, às vezes,
publicamente a perda, algo que raramente é feito se não for por exigência. não conseguem justificar a contratação de um especialista em segurança
cibernética em tempo integral. Muitas organizações menores se acham
muito pequenas para serem alvos de criminosos cibernéticos. Infelizmente, Essa pontuação de cultura de segurança reflete ideias, costumes e
para elas, isso está longe de ser verdade, principalmente na era moderna do comportamentos sociais que afetam a segurança da organização.
ransomware, em que o acesso aos seus próprios dados tem um enorme valor
para as organizações que desejam manter-se no mercado. Embora o custo de Atitudes gerais
contratar um especialista em segurança cibernética dedicado seja proibitivo
para as organizações menores, muitas delas podem trabalhar com parceiros Na América do Norte, muitas organizações já se conscientizaram dos riscos
de canal para gerenciar suas ferramentas de segurança e, até mesmo, seus da camada humana que os funcionários enfrentam e começaram a lidar com
programas de conscientização e treinamento, uma abordagem que pode essa questão oferecendo a eles a educação, o treinamento e as habilidades
agregar muito valor ao investimento. de que precisam para se protegerem e protegerem a organização contra os
ataques usados por
agentes mal-intencionados.
Independentemente do tipo específico de ataque, um incidente cibernético
pode ser um problema sério para as organizações envolvidas em negócios Pontos principais
de Fusões e Aquisições (Mergers and Acquisitions, M&A). O resultado de Fica evidente que o crime cibernético é algo que não desaparecerá e que
um ataque bem-sucedido pode desvalorizar muito o preço da organização não pode ser ignorado. O impacto financeiro e operacional é grande demais
que está sendo adquirida, desencadear problemas com órgãos reguladores, para ser negligenciado até pelas maiores organizações. Embora o seguro
como a Securities and Exchange Commission (SEC), ou esvaziar os cofres da cibernético possa aliviar um pouco o golpe de um pagamento, ele não
organização adquirente. Tudo isso pode arruinar uma aquisição rapidamente. substitui métodos adequados de prevenção e recuperação e não pode fazer
nada para lidar com os prejuízos à reputação causados por um ataque de
Adoção cultural grandes proporções.
Os programas de conscientização e educação estão amadurecendo,
A tecnologia exerce um papel importante na prevenção e na recuperação de
priorizando a mudança de comportamento dos funcionários e
um ataque; entretanto, o fator humano é, de longe, o ponto de entrada inicial
implementando uma mudança positiva na cultura geral de segurança
mais comum na rede. Em outras palavras, é na camada humana que um
da organização, em vez de simplesmente fornecer informações. Esses
ataque quase sempre faz a transição entre tentativa e invasão bem-sucedida
programas maduros geralmente operam da mesma maneira e emulam
da rede. Muitas organizações norte-americanas começaram a reconhecer
campanhas de marketing direcionadas a clientes novos e existentes.
esse perigo e a priorizar mais as maneiras de ajudar os funcionários a se
Isso significa uma exposição recorrente ao material ao longo do tempo, em protegerem contra essa enxurrada constante de ataques dos agentes mal-
vez de um grande evento por ano. Essa abordagem dá ênfase ao material intencionados. Além de enxergarem uma redução significativa de incidentes
e afeta comportamentos de relacionados a phishing por
e-mail por meio da educação de
maneira positiva. Para simplificar,
A MÉRIC A DO conscientização em segurança,
na América do Norte, a educação
e o treinamento dos funcionários
avançaram significativamente
NOR T E elas também estão adotando o
treinamento e a educação para
a ponto de serem usados como promover uma mudança na cultura
1 a 249 28,7% 17,4% 3,5%
um método-chave de proteção geral de segurança da organização
das organizações. Segundo o 250 a 999 30,2% 17,9% 4,6% e lapidando campanhas
Relatório de cultura de segurança informativas de longo prazo tendo
da KnowBe4 de 2022, a região Mais de 1.000 35,8% 17,4% 6% esse objetivo como foco.
da América do Norte tem uma
pontuação mais favorável do que PPP média entre
a do resto do mundo, com uma
média de 74 (de um total de 100).
organizações de todos os
portes
32,4% 17,5% 4,7%
REINO UNIDO E IRLANDA Impacto econômico

É sempre difícil estimar o impacto econômico do crime cibernético devido à
Problemas mais predominantes falta de consistência na forma como ele é mensurado e à inconsistência nos
relatórios de incidentes.
Em 2021, a pandemia global que dominou nossas vidas e empresas tornou-
se algo normal. Trabalhar em casa virou regra, e as empresas do Reino O National Fraud Intelligence Bureau recebe todas as denúncias de crime
Unido e Irlanda adaptaram-se a essa situação. Além disso, janeiro de 2021 cibernético enviadas à Action Fraud. Suas estatísticas indicam que quase
marcou oficialmente o fim do período de transição do Brexit, o que levou a meio milhão de denúncias foram registradas, o que totaliza perdas no valor
preocupações com a perda de recursos de compartilhamento de dados e de £ 2,6 bilhões.
ameaças na UE.
Aproximadamente 86.000 dos incidentes denunciados em 2021 estavam
A região continuou observando ataques consistentes provenientes de grupos relacionados a compras on‑line e leilões. Além disso, quanto ao crime
criminosos baseados na Rússia. De acordo com o National Cyber Security cibernético, foram feitas cerca de 14.000 denúncias de invasão de e-mails e
Centre (NCSC), a China se manteve como agente altamente sofisticada no redes sociais.
espaço cibernético, com a crescente ambição de projetar sua influência além
das fronteiras e seu interesse nada confidencial pelos segredos comerciais Na verdade, esse número provavelmente não representa nem a ponta do
do Reino Unido. A forma como a China evoluirá na próxima década será, iceberg e do real impacto econômico do crime cibernético. Ele deve chegar
provavelmente, o maior e único impulsionador do futuro da segurança a uma marca de dezenas de bilhões de libras por ano na economia do Reino
cibernética no Reino Unido e Irlanda. Unido e Irlanda.
O ransomware continuou sendo a maior ameaça pública em 2021. Em maio Perfil de negócio típico
de 2021, um ataque de ransomware contra o Irish Health Service Executive
(HSE) desestruturou os hospitais e as redes de TI do setor de saúde irlandês. De acordo com os dados públicos oficiais do Reino Unido, 75% das empresas
A organização levou quatro meses para se recuperar completamente do do país tinham zero funcionário e não empregavam ninguém, a não ser o(s)
ataque, que causou consequências reais e significativas para pacientes e proprietário(s) em 2021, sendo que mais de 99% das empresas eram de
suas famílias. pequeno e médio portes, contando com 0 a 249 pessoas.
O comprometimento da empresa de software SolarWinds e o exploit dos Os setores de serviços representavam 76% das empresas, e 16% das PMEs
Microsoft Exchange Servers destacaram a ameaça de ataques à cadeia de (pequenas e médias empresas) eram lideradas por mulheres. Não havia
suprimentos, com muitas organizações no Reino Unido e Irlanda sendo quadros de funcionários inteiramente masculinos no FTSE100.
afetadas negativamente.
Adoção cultural
De forma geral, as táticas dos criminosos continuam muito parecidas com o
que já observamos em anos anteriores. Engenharia social, exploit de software De acordo com o Relatório de cultura de segurança da KnowBe4 de 2022, a
vulnerável sem patches aplicados e comprometimento de credenciais fracas região do Reino Unido e Irlanda tem uma pontuação que se compara bem
permanecem como os vetores de ataque predominantes. Com o home office com a pontuação do índice da cultura de segurança do Reino Unido (74 de um
e o trabalho híbrido, a superfície de ataque de engenharia social aumentou e, total de 100) e da Irlanda (78 de um total de 100). Essa pontuação de cultura
hoje, muitos ataques vêm de telefones residenciais fixos, SMS, redes sociais de segurança reflete ideias, costumes e comportamentos sociais que afetam
ou e-mails para contas pessoais e corporativas. a segurança da organização.
Atitudes gerais Enquanto o ransomware dominava os noticiários, o NCSC destacava as

crescentes ameaças à segurança cibernética em intensidade, complexidade e
O departamento de Digital, Culture, Media & Sport (DCMS) realiza uma gravidade. A crescente dependência de infraestrutura e tecnologias digitais,
pesquisa anual sobre conscientização e atitudes de segurança cibernética. principalmente durante o período de trabalho remoto ou híbrido, também
De acordo com os resultados, três quartos das empresas (77%) e sete em aumentou a exposição ao risco.
cada 10 instituições de caridade (68%) alegam que a segurança cibernética
é uma alta prioridade para a administração. Os dois grupos praticamente A engenharia social continua sendo uma das maiores ameaças em crime
se dividem igualmente ao dizer que esta é uma prioridade “muito alta” ou cibernético e fraudes mais amplas. Segundo o Gov.UK, entre os 39% das
“razoavelmente alta”. empresas britânicas que identificaram um ataque, o vetor de ataque mais
comum eram as tentativas de phishing (83%). Existe ainda um desafio
De acordo com a pesquisa de violações de segurança cibernética de 2021 crescente de fazer a manutenção dos programas de software e dos sistemas
realizada pelo governo do Reino Unido, é mais comum que empresas para garantir que estejam atualizados e protegidos. Os riscos à cadeia de
maiores apontem que a segurança cibernética é uma alta prioridade (95% suprimentos também são uma grande preocupação, tanto para o software
das empresas de médio porte e 93% das empresas de grande porte em comercial como para o código aberto.
relação a 77% no geral). O mesmo acontece com as instituições de caridade
de alta renda (96% das que recebem £ 500.000 ou mais em relação a 68% das Como parte do plano de enfrentamento, o governo está propondo a próxima
instituições em geral). Estratégia nacional de resiliência e uma estratégia digital para definir visões
claras das ambições do país de construir uma economia digital mais inclusiva,
Os setores corporativos que atribuem uma prioridade mais alta à segurança competitiva e inovadora para o futuro.
cibernética são:
Com um olhar para o futuro, é importante, porém, que a região do Reino
• Finanças e seguros (72% alegam uma prioridade muito alta em relação a Unido e Irlanda se mantenha constantemente atenta ao presente e fortaleça
37% de todas as empresas) organizações e indivíduos contra as formas comuns de ataque que se
mostraram bem-sucedidas por tantas vezes. Se não for possível proteger as
• Informações e comunicações (62%)
credenciais, corrigir sistemas ou oferecer treinamento de conscientização em
• Saúde, assistência social e atendimento (56%) segurança aos indivíduos, o caminho para uma economia digital inovadora
poderá se tornar uma estrada cheia de obstáculos.
Esses são três setores que consideram consistentemente a segurança
cibernética uma prioridade mais alta. Por outro lado, mas
também em linha com o exposto no ano passado, o setor
de alimentação e hospitalidade e o setor de construção
tendem a tratar a segurança cibernética como uma REINO UNIDO
prioridade menor (apenas 62% e 64% dizem que é uma
prioridade alta em relação a 77% das empresas em geral).
E IRL A NDA
Pontos principais 1 a 249 26,2% 16,7% 3,9%
A COVID-19 foi o grande catalisador que acelerou a 250 a 999 27,7% 16,2% 4,3%
transformação digital em um ritmo possivelmente
mais rápido do que as organizações e a sociedade, em Mais de 1.000 32,7% 17,5% 8,3%
geral, estavam preparadas. Embora isso tenha trazido
muitos benefícios, acumulou-se também uma grande PPP média entre organizações de
dívida técnica. todos os portes 30% 17% 5,5%
EUROPA Embora
não haja
dados claros
Problemas mais predominantes à disposição, fica
evidente que o impacto
O surto de COVID-19 intensificou a dependência de tecnologias da informação
econômico do crime
e de comunicação mais do que qualquer outra época. Para ocuparem
cibernético é alto. De acordo
uma posição no mercado, as organizações precisaram recorrer a medidas
com a Agência de Segurança
alternativas de continuidade dos negócios, como a adoção de novos serviços
Cibernética da União Europeia
em nuvem, a criação de serviços diretos ao consumidor, a introdução de
(ENISA), 57% das organizações de
novas formas de pagamento digital e a possibilidade de permitir que os
PMEs (pequenas e médias empresas)
funcionários trabalhassem remotamente. Tudo isso precisou ser feito de uma
entrevistadas afirmam que provavelmente
hora para a outra, normalmente abrindo brechas críticas de segurança.
pediriam falência ou fechariam as portas se
As grandes empresas, em geral, contam com funcionalidades e recursos um incidente grave de segurança cibernética
disponíveis para suportar o impacto de uma crise de tamanha proporção, acontecesse.
enquanto as organizações de pequeno e médio portes sofrem mais.
Quase que constituindo a grande maioria das organizações na UE, essas Perfil de negócio típico
organizações de pequeno e médio portes também são os grupos mais
vulneráveis, com orçamentos de segurança cibernética geralmente limitados Empresas de pequeno e médio portes representam 99% de todas as
e baixa resiliência a grandes catástrofes. empresas na UE. De acordo com a Statista, em 2020, aproximadamente
93,3% das empresas na economia de negócios não financeiros da Europa
Grandes incidentes que ameaçaram a Europa mostraram ter consequências eram microempresas e empregavam até nove funcionários. No mesmo ano,
de grande alcance. Com o aumento contínuo de uso da Internet na Europa, cerca de 5,7% foram definidas como empresas de pequeno porte (10 a 49
crises, como a pandemia de COVID-19, a guerra na Ucrânia e o aumento funcionários), 0,9% como empresas de médio porte (50 a 249) e 0,2% como
geral do crime cibernético, podem ter um impacto devastador sobre as empresas de grande porte que empregavam 250 ou mais funcionários.
organizações. Os problemas predominantes de segurança cibernética,
segundo a Europol, são causados por ataques de phishing e engenharia
social. Considerando que a UE representa a maior economia do mundo, é Adoção cultural
imprescindível diminuir o risco de se tornar vítima desses ataques com o
aumento da conscientização em segurança das pessoas. O Relatório de cultura de segurança da KnowBe4 de 2022 constata que
a Europa vai razoavelmente bem com uma pontuação 73 (de um total de
100) no índice da cultura de segurança geral. Essa pontuação de cultura de
Impacto econômico segurança reflete ideias, costumes e comportamentos sociais que afetam
a segurança da organização e a adoção da segurança por parte de seus
É difícil determinar, com precisão, o impacto econômico do crime cibernético funcionários.
na Europa. Métricas confusas, incidentes não divulgados e insuficiência geral
de dados financeiros praticamente inviabilizam uma contabilidade precisa.
Diversos países na UE estão desenvolvendo ativamente uma conscientização De forma geral, a adoção da segurança cibernética nas organizações
sobre segurança cibernética entre seus cidadãos e as organizações. está sendo caracterizada pela necessidade de ela provar seu valor como
Variando de campanhas de conscientização direcionadas aos consumidores facilitadora de negócios.
até o fornecimento ativo de inteligência de código aberto e informações
sobre indicadores de comprometimento (IOC) para as organizações. Essas
iniciativas e o aumento da atenção ao crime cibernético pela mídia nacional Pontos principais
e local geraram uma percepção maior da necessidade de adotar a segurança
A dependência das tecnologias da informação e de comunicação
como um fator básico de higiene.
impulsionada pela pandemia de COVID-19 leva ao desafio em torno da
segurança cibernética. Essa dependência de tecnologias de comunicação está
Atitudes gerais sendo explorada pelos grupos criminosos na forma de ataques cibernéticos.
Engenharia social, ransomware e ataques à cadeia de suprimentos são
A transformação digital é um dos maiores desenvolvimentos que fazem as especialmente projetados para enfraquecer as empresas. O phishing ainda
organizações europeias avançarem. Embora o desenvolvimento seja algo é o principal vetor de ataque, tornando as pessoas uma parte importante da
positivo, isso também aumenta a necessidade de uma resiliência maior postura de segurança de qualquer organização.
contra o crime cibernético. Duas tecnologias importantes da era digital, a
adoção das tecnologias da Internet das Coisas e a introdução da Inteligência Devido à escassez de mão de obra qualificada e ao número crescente de
artificial, também estão sendo exploradas pelos criminosos. incidentes de crimes cibernéticos na Europa, as organizações precisam se
concentrar nos funcionários como uma camada crítica de segurança. Os
O mais interessante é a mudança de cenário de expertise. As organizações funcionários são considerados ativos que precisam de proteção, mas também
procuram cada vez mais habilidades associadas ao gerenciamento geral como ativos que podem ser capacitados como parte de seu firewall e sua
de segurança, como gerenciamento de riscos e de serviços, enquanto postura geral de segurança. Com a média de Porcentagem de Phish-prone
habilidades, como teste de penetração manual e gerenciamento de em 29,9% na Europa, é crucial que as organizações invistam em programas
tecnologias, estão se tornando menos importantes devido aos avanços na de conscientização em segurança para capacitar as pessoas a tomarem
automação e inteligência artificial. melhores decisões nesse sentido.
EUROPA BASAL 9 0 DI A S 1 A NO
1 a 249 27,8% 17,9% 4,2%
250 a 999 28,2% 18,2% 6,7%
Mais de 1.000 31,1% 18,9% 8%
PPP média entre organizações de todos os portes 29,9% 18,5% 6,3%
ÁFRICA
Problemas mais predominantes
Conforme relatado pelo Africa Center for Strategic Studies, a África enfrenta Dados publicados no Annual Report
uma série crescente de ameaças cibernéticas de espionagem, sabotagem de of the South African INSURANCE CRIME
infraestruturas críticas e crime organizado. Ainda assim, apenas um terço BUREAU de 2020 mostram que o rápido
(17) dos 54 países africanos implementaram uma estratégia de segurança crescimento da economia digital na África ultrapassou
cibernética nacional. Além disso, os países que têm estratégias ficam os desenvolvimentos no fornecimento de segurança
para trás, pois seus planos não incluem as principais partes interessadas, cibernética adequada e que as pressões econômicas,
não solucionam adequadamente a questão da capacitação e não são políticas e sociais combinadas estão causando um
suficientemente adaptados às ameaças em evolução. As tentativas aumento no “crime econômico desesperado”, incluindo
anteriores de aprimorar a cooperação cibernética entre fronteiras na África, crimes físicos, além de fraudes e crimes cibernéticos mais
principalmente a Convenção sobre Segurança Cibernética e Proteção de sofisticados.
Dados Pessoais (a Convenção de Malabo), patrocinada pela Austrália, ainda
não atingiram o suporte adequado em âmbito nacional. A Pesquisa sobre ransomware da ITWeb e KnowBe4 de 2021 na África do Sul
aponta que 32% dos entrevistados tinham sofrido um ataque de extorsão
Um dos maiores problemas de segurança cibernética da África é a escassez cibernética. E que 4% das vítimas pagaram o pedido de resgate, fazendo
de habilidades. O continente enfrenta uma falta de 100.000 pessoas com desta uma região lucrativa para gangues de ransomware.
certificação em segurança cibernética. Um grande número de empresas,
agências e consumidores precisa de conscientização cibernética, e as Além das perdas diretas sofridas com os ataques de extorsão cibernética e as
empresas não conseguem implementar os controles básicos. fraudes cibernéticas, a falta de proteção e segurança cibernética adequadas
faz com que muitos países e muitas organizações não consigam aproveitar
Os governos não monitoram adequadamente as ameaças, não coletam as oportunidades da Quarta Revolução Industrial. A maioria das nações
evidências de perícia digital e não processam crimes digitais. africanas é despreparada para lidar com os avanços em IA, comunicações
sem fio, computação quântica e automação que devem caracterizar a
próxima década. Isso significa que as organizações africanas não poderão
Impacto econômico se beneficiar economicamente dessas tecnologias se não estiverem
devidamente preparadas para enfrentar as ameaças cibernéticas.
Como os incidentes e o impacto financeiro não são divulgados oficialmente,
é difícil saber até que ponto o crime cibernético realmente afeta a economia
africana. 96% dos incidentes de segurança cibernética não são denunciados
ou não são resolvidos, o que indica que as ameaças cibernéticas na África
provavelmente sejam muito piores do que é formalmente reconhecido.
Perfil de negócio típico O Relatório da KnowBe4 de conscientização e segurança cibernética na

África de 2021 revelou que a pandemia ainda exerce um papel importante
Os 54 países africanos são diversos em termos de população, níveis de na influência de comportamentos e padrões de trabalho entre os 800
desenvolvimento, índices de crescimento e estabilidade. Embora a Nigéria entrevistados de oito países africanos. Apenas 38% dos entrevistados
tenha quase 190 milhões de habitantes e a Etiópia e o Egito tenham mais retornaram aos seus escritórios ou acessam a Internet pela rede do
de 90 milhões de habitantes cada, a maioria das nações africanas tem escritório, enquanto 55% continuam trabalhando de casa.
populações abaixo de 20 milhões. O potencial da África como mercado em
crescimento para os negócios continua subestimado e pouco compreendido. 72% dos entrevistados afirmaram estar preocupados com os crimes
Mais de 400 empresas na África têm rendimentos anuais de US$ 1 bilhão ou cibernéticos, mas também não tinham o conhecimento básico dos tipos de
mais e são, em média, de crescimento mais rápido e mais lucrativas do que ameaças a que estão realmente expostos. Além disso, 54% dos entrevistados
seus pares globais. não sabiam o que era um ataque de ransomware, 26% sofreram um ataque
de engenharia social por telefone (vishing) e 34% perderam dinheiro porque
O Relatório de benchmark de phishing por setor da KnowBe4 baseia-se em foram vítimas de um golpe. Os efeitos da pandemia continuam influenciando
um total de 7.490 testes de simulação de phishing em 300 organizações o comportamento dos funcionários, e 55% dos entrevistados pretendem
africanas. Dessas, 58% das organizações são PMEs (pequenas a médias continuar trabalhando de casa.
empresas) com 1 a 249 usuários, 28% são médias, com 250 a 999 funcionários
e 14% das organizações têm mais de 1.000 usuários.
Atitudes gerais
A maioria do conjunto de dados é derivada de organizações na África do Sul,
Com a média de idade de apenas 19,7 anos, a África tem a população mais
no Quênia, na Nigéria e em Botsuana.
jovem do mundo. A crescente juventude da África precisa de acesso à
conectividade global e está impulsionando a digitalização e a adoção de
Adoção cultural tecnologias: o número de pessoas que têm dispositivos móveis inteligentes
aumenta constantemente, o uso das redes sociais só aumenta e a Internet
A população atual da África de cerca de 1,2 bilhão de pessoas deve chegar a das Coisas (IoT) está se tornando uma realidade. Segundo o FMI (Fundo
1,7 bilhão até 2030. Inovadores na África costumam ser motivados por um Monetário Internacional), a África subsaariana é a única região do mundo
propósito maior. Eles observam os altos níveis de pobreza da África e sua onde cerca de 10% do seu produto interno bruto é gerado por meio de
escassez em infraestrutura, educação e saúde e veem questões humanas que dinheiro móvel. As pessoas usam seus dispositivos móveis para receber
se sentem responsáveis por resolver. Ao considerar os riscos, a instabilidade, salários, fazer pagamentos, pagar contas e comprar. O Relatório da KnowBe4
o acesso ao capital, a corrupção e a segurança cibernética são as maiores de conscientização e segurança cibernética na África de 2021 revelou que
preocupações de investidores e empreendedores em potencial. Embora 71% dos entrevistados de oito países africanos usam dados móveis para
haja uma taxa crescente de consumidores de dispositivos móveis, muitos acessar a Internet, enquanto 63% usam o celular para acessar o banco e fazer
deles são usuários de primeira viagem da Internet que não têm habilidades pagamentos. O WhatsApp ainda é o aplicativo preferido de 91%, depois vem o
cibernéticas básicas. e-mail com 75% e o Telegram com 52%.
No entanto, com o aumento da prosperidade e da digitalização, surgem novos O ransomware ganhou mais popularidade. Com questões mais urgentes
riscos e vulnerabilidades que podem prejudicar o progresso. É necessário para resolver, como desemprego na juventude, pobreza, desigualdade e
ver muitas ações mais das empresas e dos governos para solucionar a crimes violentos, há pouca priorização e pouco investimento em segurança
“incompetência inconsciente” dos usuários da África em relação à segurança cibernética entre as empresas e os governos.
cibernética e proteger seus cidadãos contra o crime cibernético.
As empresas nessa região muitas vezes não conseguem arcar nem mesmo
com os controles de segurança mais básicos. Aquelas que conseguem investir
Pontos principais têm dificuldade de encontrar pessoas que tenham conhecimento e habilidade
em segurança cibernética. As parcerias público-privadas são necessárias
O Relatório da KnowBe4 de conscientização e segurança cibernética na África para ajudar a África em seus desafios de segurança cibernética. O setor
de 2021 revela um panorama de ameaças à segurança que se modificou privado, particularmente os setores de serviços financeiros, conta com o
e se adaptou às mudanças nas condições de trabalho e nas preocupações capital humano, a infraestrutura, os recursos e a experiência em segurança
de segurança ao longo do ano passado. Apenas 40% dos entrevistados cibernética que os governos não têm. Continua sendo fundamental que
acreditam que realmente entendem suas funções e responsabilidades quanto as organizações treinem funcionários e seus clientes quanto às melhores
à segurança e apenas 28% acreditam que receberam de seus empregadores práticas de segurança. Governos e instituições de ensino precisam investir na
o treinamento adequado em segurança cibernética. Os ataques contra expansão da tão necessária capacitação profissional em segurança, além de
organizações africanas são consistentes com ataques em outros países, como tornar a conscientização em segurança cibernética uma habilidade vital para
extorsão cibernética, cavalos de Troia bancários, golpes de investimento todos os jovens que ingressam no mercado de trabalho.
(incluindo golpes de criptomoedas), comprometimento de e-mail comercial
(BEC) e engenharia social para fraude financeira. No entanto, a ameaça
é ampliada, pois os africanos são inerentemente menos conscientes das
ameaças cibernéticas do que os habitantes de outros países. Golpes
relativamente básicos, como BEC, phishing, vishing e smishing, costumam
funcionar, especialmente entre empresas pequenas e mal equipadas.
Á F RIC A BASAL 9 0 DI A S 1 A NO
1 a 249 30,2% 24,8% 8,1%
250 a 999 27,4% 21% 12,7%
Mais de 1.000 32,4% 17,9% 4%
PPP média entre organizações de todos os

portes 31,4% 18,8% 5,4%
AMÉRICA DO SUL
Problemas mais predominantes
Os ataques cibernéticos surgem de todas as formas e grandezas na América Quando as empresas com mais de 1.000
Latina. Mais especificamente, worms, cavalos de Troia, spyware, ransomware funcionários são avaliadas, o Peru aparece no
e, especialmente, phishing, fazem parte dessa ampla lista. topo do ranking da Porcentagem de Phish-
prone, com 72,7%, depois vem o Brasil (65,1%)
A pandemia mundial de COVID-19 trouxe profundas mudanças para a e a Colômbia (46,6%).
sociedade e afetou as empresas e as pessoas em diferentes aspectos. Com
a propagação do vírus, muitas organizações tiveram de aderir ao trabalho
remoto, um grande impacto tecnológico, principalmente em relação à Impacto econômico
segurança cibernética.
A hiperconectividade das últimas décadas
Com a interconectividade cada vez mais presente e com a expansão do ampliou o cenário das atividades cibernéticas e
trabalho remoto, novos desafios surgiram na área de segurança das também a mira dos invasores cibernéticos. Cada
informações, aumentando os riscos a níveis exponenciais. Como o ambiente usuário, empresa e governo é um alvo e, portanto, a segurança deve ser
corporativo mudou para uma estrutura de trabalho remoto, é necessário considerada um investimento de recursos importante e de alta prioridade.
que a segurança seja bem projetada e configurada para evitar que agentes
Por conta de diversos fatores técnicos e financeiros, os ataques cibernéticos
maliciosos prejudiquem os negócios.
muitas vezes passam despercebidos, mas certas ações ofensivas podem
No cenário global, dois países da América Latina aparecem entre as 10 nações representar sérias ameaças e gerar perdas econômicas significativas.
mais afetadas pelos ataques de phishing. O Brasil lidera o ranking, com 12,4%,
As estimativas das perdas financeiras causadas pelos ataques cibernéticos
e o Equador ocupa a 10ª posição na lista, com 10,7%. Em outras palavras, a
soma dos ataques nesses dois países sul-americanos representa 23,1% dos aumentam a cada ano. De acordo com o Relatório de segurança cibernética
ataques de phishing no mundo todo. na América Latina da Statista, o mercado de segurança cibernética na
América Latina foi avaliado em quase US$ 12,9 bilhões em 2019. Estima-se
que esse valor ultrapasse US$ 25 bilhões até 2025. Brasil, México e Colômbia
Porcentagem de Phish-prone aparecem como os países mais visados pelos criminosos cibernéticos. Juntos,
os três representam quase 9 dos 10 ataques registrados na América Latina.
Em 2021, identificamos uma Porcentagem de Phish-prone de 39,9% na
América Latina. Os números apontam para um aumento de 6,1% em O ransomware é um dos tipos mais comuns de ataques realizados pelos
comparação com o registro de 33,7% em 2020 publicado no Relatório de criminosos cibernéticos na América Latina. Na pesquisa de 2020, 65% dos
benchmark de phishing por setor de 2021. entrevistados no Brasil afirmaram que a organização em que trabalhavam
sofreu ataques de ransomware, enquanto 44% dos entrevistados no
É notável que a América do Sul seja a região global mais suscetível a ataques México e na Colômbia disseram que sua organização tinha sido atacada por
de phishing, em comparação com outras regiões, como América do Norte ransomware.
(32,4%), Ásia (34,6%), Europa (29,9%) e Oceania/Austrália/Ásia (34,5%).
Perfil de negócio típico

Empresas de todos os segmentos de mercado foram alvos de ataques Além dos incidentes em si, os profissionais de conscientização em segurança
cibernéticos na América Latina. No Brasil, por exemplo, casos de ataques de relataram mais adesão aos tratamentos propostos, que variam de phishing,
ransomware foram denunciados em setores, como saúde, varejo e finanças e ransomware, lavagem de dinheiro e outras ameaças.
instituições do governo.
Pontos principais
Mesmo empresas menores, que não tinham o hábito de direcionar
investimentos para a área de segurança de informações, já estão dedicando A confiança zero ajuda a reduzir o risco: os princípios relacionados a uma
grandes parcelas de recursos financeiros para conter possíveis ataques abordagem de confiança zero, que incluem a implementação de autenticação
cibernéticos. multifator (Multi-Factor Authentication, MFA) ou tokens de hardware e o
princípio de privilégio mínimo, têm o potencial de diminuir a suscetibilidade
Em apenas um caso registrado em 2021, uma empresa de e-commerce das organizações aos principais tipos de ataque, principalmente o
registrou perdas de mais de R$ 3,4 bilhões depois do sequestro de seus sites ransomware e o BEC.
em um ataque de ransomware.
Desenvolvimento de um plano de resposta para ransomware: todos os
Adoção cultural e atitudes gerais setores e todas as empresas correm o risco de ser alvo de um possível ataque
de ransomware. O segredo está na rapidez com que as equipes respondem,
Governos de vários países da América Latina estão se empenhando para com as informações necessárias nos primeiros momentos críticos. Isso
criar estratégias de segurança de informações bem definidas. Empresas fará toda a diferença nos quesitos tempo e dinheiro perdidos durante
e organizações também estão criando e implementando novas medidas uma resposta.
de segurança destinadas a atenuar todos os tipos de futuros ataques
cibernéticos. Adoção de um treinamento de conscientização em segurança atualizado:
é importante implementar um plano robusto, que inclua simulações de
Por estarem entre os alvos mais visados pelos criminosos cibernéticos, phishing com exemplos reais. Além disso, nunca foi tão importante treinar
as equipes de segurança de empresas no Brasil, no México e na Colômbia funcionários por meio de um programa de conscientização em segurança
dedicam mais da metade de suas horas de trabalho à prevenção de ameaças atualizado para usar a detecção de engenharia social e ataques de phishing.
cibernéticas. Com relação às iniciativas de reagir aos ataques, esses três
países gastam, em média, um terço delas.
Por exemplo, em 2020, o Brasil se destacou

como o país da América Latina com a maior A MÉRIC A DO
porcentagem de ataques de phishing. BASAL 9 0 DI A S 1 A NO
Depois desses dados alarmantes, o volume NOR T E
de investimentos na área de segurança
aumentou significativamente nas empresas de 1 a 249 30,9% 24,7% 1,8%
médio e grande portes. Existe uma crescente
demanda no mercado por profissionais 250 a 999 30% 22,2% 9,8%
que trabalhem com a implementação de
conscientização em segurança. Mais de 1.000 45,6% 19,3% 0,8%
PPP média entre organizações

de todos os portes 39,9% 20,5% 3,2%
APAC, AUSTRÁLIA E NOVA ZELÂNDIA

Problemas mais predominantes Impacto econômico
APAC De acordo com o Global State of
Em toda a região APAC, incluindo Austrália e Nova Zelândia, ransomware, Industrial Cybersecurity 2021:
cadeias de suprimentos, BEC, golpes de compras on‑line, fraude, banco Resilience Amid Disruption Report
on‑line, roubo de identidade e golpes de romance são ameaças consistentes, publicado pela Claroty, 80% das
e o phishing é o vetor de ataque mais bem-sucedido. organizações na região APAC foram
afetadas por ataques de ransomware em
De acordo com o IBM Security X-Force Threat Intelligence Index de 2022, que 2021 e 51% pagaram o resgate.
inclui dados de 2021, Japão, Austrália e Índia foram os países mais atacados
na Ásia. Isso demonstrou consistência com os resultados apresentados no De acordo com a ACCC (Australian Competition and
Relatório de investigações sobre violação de dados da Verizon de 2021. O Consumer Commission), os australianos perderam um
tipo mais comum de violação que ocorreu na região APAC foi causado por valor recorde de AU$ 323 milhões por golpes em 2021 (um
invasores com motivação financeira que aplicavam phishing nos funcionários impressionante aumento de 84% em relação ao ano anterior). Enquanto isso,
para obter credenciais e depois usavam essas credenciais roubadas para 790 vítimas em Singapura caíram no recente golpe de smishing do OCBC
obter acesso a contas de e-mail e servidores de aplicativos da Web. A Verizon Bank, com uma perda total de SGD$ 13,7 milhões, mostrando que o custo
também relatou que 70% dos ataques na região APAC continham uma ação potencial para as empresas na região APAC é enorme.
de engenharia social.
Perfil de negócio típico
Austrália
APAC
Ao longo do ano fiscal 2020–21, o Australian Cyber Security Centre (ACSC)
recebeu mais de 67.500 denúncias de crime cibernético, um aumento de A região Ásia-Pacífico tem uma população de 4,2 bilhões. Com mais de 38
quase 13% em relação ao ano anterior. A cada oito minutos, um incidente países, é uma das regiões mais diversificadas do mundo e abriga economias
cibernético é denunciado nessa região. A pandemia global de COVID-19 foi, que estão no topo dos desenvolvimentos digitais e sociais em todo o mundo.
e continua sendo, um tópico em alta nas campanhas de phishing e spear Essa região também é considerada líder global em acesso e utilização de
phishing desenvolvidas para obter informações valiosas e ganhos financeiros, Internet de alta velocidade.
além da tradicional cartilha que os criminosos cibernéticos seguem. Austrália
De acordo com o Office of the Australian Information Commissioner, Em 2021, havia 2.447.026 empresas ativas na economia australiana.
provedores de serviços de saúde foram o setor mais visado, seguido pelos Nova Zelândia
setores: Finanças, Jurídico, Serviços de gerenciamento e contabilidade,
Serviços pessoais e, por fim, Educação e Seguros. Além disso, Em 2021, havia 562.521 empresas ativas na economia da Nova Zelândia.
aproximadamente um quarto dos incidentes cibernéticos denunciados
Adoção cultural
estavam associados a uma infraestrutura crítica ou a serviços essenciais.
O Adobe 2022 APAC Digital Trends Report previu que, até 2025, espera-
se que mais 333 milhões de pessoas comecem a usar a Internet móvel na
região APAC pela primeira vez. E que elas provavelmente se comportarão de
maneira diferente dos usuários de Internet existentes.
Pelo fato de os acordos de trabalho remoto e híbrido continuarem, há uma Tendo em vista a falta de clareza do departamento de TI, não é de
necessidade contínua de solucionar o erro humano, que é responsável pela surpreender que os funcionários também não saibam quem é o responsável
maioria dos ataques cibernéticos bem-sucedidos em todas as formas de pela segurança cibernética:
tecnologia.
• Quase um quarto (24%) afirma que a tecnologia deve proteger a
Atitudes gerais organização contra ataques cibernéticos.
No Norton Cyber Safety Insights Report de 2021, 79% dos australianos, • 21% acreditam que a responsabilidade é do departamento de TI.
77% dos neozelandeses e 73% dos japoneses concordaram que “o trabalho • 11% acreditam que a responsabilidade é do governo.
remoto tornou muito mais fácil para atacantes e criminosos cibernéticos
se aproveitarem das pessoas”. Além disso, mais da metade dos adultos O treinamento sobre segurança cibernética afeta a visão dos funcionários,
está mais preocupada do que nunca com o fato de ser vítima de crimes tornando-os mais suscetíveis a assumir a responsabilidade pela sua própria
cibernéticos, mas uma proporção semelhante não sabe como se proteger função de manter a organização segura. Aqueles que receberam treinamento
desses crimes. tendem a acreditar que a responsabilidade é do funcionário (16%) em
comparação com aqueles que não receberam treinamento (11%).
Em toda a região APAC, as pessoas estão buscando ativamente orientações
e informações sobre como aumentar sua segurança on‑line e proteger sua Em contraste, aqueles que nunca receberam treinamento tendem a acreditar
privacidade. Infelizmente, elas geralmente não sabem a quem recorrer ou que a responsabilidade é do departamento de TI (29% contra 17%).
como fazer.
Pontos principais
A realidade é que as ameaças cibernéticas são tão difundidas que manter
indivíduos e empresas seguros exige um esforço conjunto do governo, de Nossa pesquisa anual de 2021 sobre a APAC aponta que sete em 10 (70%) dos
líderes empresariais, de departamentos de TI e dos funcionários. Não existe responsáveis pelas decisões de TI acham que os governos da Austrália e de
uma solução de tecnologia mágica ou milagrosa que proteja seus negócios. Singapura deveriam fazer mais para proteger as empresas contra ataques
Todo mundo precisa se informar sobre as possíveis ameaças e como evitá-las. cibernéticos. Além disso, apenas 52% desses responsáveis pelas decisões
de TI afirmam estar confiantes de que entendem as responsabilidades de
A pesquisa anual da KnowBe4 de 2021 sobre a APAC indica que menos da sua organização em relação aos relatórios governamentais de incidentes
metade (45%) dos responsáveis pelas decisões de TI da região acredita que cibernéticos e violações de dados.
todos têm a responsabilidade de proteger a organização contra os ataques
cibernéticos. Os líderes de TI e as empresas na região APAC não sentem apoio por parte
do governo em relação a questões de segurança e acreditam que o governo
deveria fazer mais, como:
A PAC BASAL 9 0 DI A S 1 A NO • Informar e conscientizar todos os cidadãos sobre os riscos cibernéticos e

como manter a proteção on‑line (45%)
1 a 249 30,2% 21,1% 4,4%
• Promover mais treinamentos para as empresas sobre riscos
250 a 999 32,6% 19,2% 6,2% cibernéticos (42%)
• Fornecer mais subsídios para as empresas para fins de proteção
Mais de 1.000 36,7% 15% 5,2% cibernética (38%)
PPP média entre A educação necessária para os profissionais de TI sobre suas obrigações e
organizações de todos
os portes
34,5% 16,9% 5,4% seus compromissos também precisa ser passada ao público em geral, para
que todos saibam como se manter seguros on‑line em casa e no trabalho.
PONTOS PRINCIPAIS Relatório global de benchmark de Phishing por setor de 2022 25
PONTOS PRINCIPAIS: O VALOR DE UM TREINAMENTO DE CONSCIENTIZAÇÃO EM

SEGURANÇA ATUALIZADO
Os resultados das três fases do estudo revelam diversas conclusões:
• Toda organização corre um sério risco quando não conta com um treinamento de conscientização em segurança atualizado. Com uma PPP basal
média do setor de 32,4%, as organizações podem expor um terço de sua força de trabalho a golpes de engenharia social e phishing a qualquer momento.
• Qualquer organização pode reforçar a segurança por meio de um treinamento de usuário final em apenas de três meses. O valor de um bom
programa de treinamento é estabelecer uma cadência consistente de simulação de phishing e educação em engenharia social em um período curto.
• Uma estratégia eficaz de treinamento de conscientização em segurança pode ajudar a acelerar os resultados para todas as organizações.
A dificuldade que alguns líderes empresariais têm de implementar o treinamento de segurança de maneira eficaz em toda a organização não surpreende
em nada. Os líderes podem se preparar para o sucesso depois de uma avaliação de seus objetivos e do planejamento de uma estratégia organizacional
antes de lançar o treinamento.
O sistema da KnowBe4 funciona mesmo

PONTOS PRINCIPAIS PARA A EMPRESA
35%
Os líderes de segurança e gerenciamento de riscos precisam entender que, para mudar Média de 32,4%
favoravelmente os comportamentos gerais de segurança em suas organizações, seus
Porcentagem de Phish-prone™
30% Porcentagem inicial de Phish-Prone
programas devem contar com: (propensão ao phishing) antes do treinamento
• Um protocolo claramente definido e comunicado

25%
• Um forte alinhamento com as políticas organizacionais de segurança 20%

Média de 17,6%
3 meses depois
• Uma conexão ativa com a cultura geral de segurança e a camada humana
de segurança 15%
• O apoio total dos executivos
12 meses depois
10%
Sem um apoio motivado dos executivos, a tentativa de aumentar a conscientização em Média de 5%
segurança dentro de uma organização tende a falhar.
5%
0%
Fonte: Relatório de benchmark de phishing por setor de 2022 da KnowBe4 0 1 2 3 4 5 6 7 8 9 10 11 +12
Período de treinamento
Observação: a porcentagem de Phish-prone inicial é calculada com base em todos os usuários avaliados. Esses usuários não
receberam nenhum treinamento no console da KnowBe4 antes da avaliação. Os outros intervalos refletem as Porcentagens de Phish- Meses
prone dos usuários que receberam treinamento no console da KnowBe4. Com base em 9,5 milhões de usuários
Fonte: 2022 KnowBe4 Phishing by Industry Benchmarking Report (Relatório da KnowBe4 de comparação de phishing por indústria em 2022)
Observação: a porcentagem inicial de Phish-Prone (propensão ao phishing) é calculada com base em todos os usuários avaliados.
Eles não receberam nenhum treinamento no console da KnowBe4 antes da avaliação. Os outros intervalos refletem as porcentagens de
Phish-Prone dos usuários que receberam treinamento no console da KnowBe4.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Pontos principais
PONTOS PRINCIPAIS PARA A EMPRESA Relatório global de benchmark de Phishing por setor de 2022 26
• Equipe de conscientização em segurança

PONTOS PRINCIPAIS PARA A EMPRESA • Treinamento corporativo
• Champions de segurança
Os líderes de segurança e gerenciamento de riscos precisam entender que, Participantes • Especialistas em segurança e
• Todos os patrocinadores
no assunto
para mudar favoravelmente os comportamentos gerais de segurança em

suas organizações, seus programas devem contar com: necessários
•
• Comunicações
Um protocolo claramente definido e comunicado • Gerentes da linha de frente
• Um forte alinhamento com as políticas organizacionais de segurança • Redes sociais e Marketing
• CISO e equipe de Segurança
• Uma conexão ativa com a cultura geral de segurança
Participantes importantes
• O apoio total dos executivos
• E xecutivos da
Sem um apoio motivado dos executivos, a tentativa de aumentar
alta gerência
a conscientização em segurança dentro de uma organização • Diretoria
tende a falhar. • RH e Jurídico
Participantes ocasionais
Os executivos de Segurança e Gerenciamento
de riscos podem garantir o sucesso de seus
programas pelas seguintes iniciativas:
• Promover uma cultura de segurança: o elemento humano
é a parte mais crítica da infraestrutura de segurança de uma
organização. Todos os funcionários devem entender qual é sua função • Envolver o trabalho de um profissional: o conteúdo de conscientização
em segurança é diferente de qualquer outro. O conhecimento não
e sua responsabilidade para proteger a organização e se protegerem
está apenas no design do conteúdo, mas também na garantia de
de um ataque cibernético. Cultura de segurança, conforme definição
que esse conteúdo proporcione uma experiência de aprendizado
da KnowBe4, são ideias, costumes e comportamentos sociais que
positiva e, consequentemente, uma mudança de comportamento
influenciam a segurança de uma organização. Os executivos precisam
segura e favorável. Em um setor em que o conteúdo é a prioridade, a
tomar a iniciativa de promover um ambiente adequado para a
recomendação é fazer parceria com um fornecedor capaz de oferecer
segurança, investindo tanto no foco de seu programa de treinamento
a você diversas nuances, versões e variedades que atraiam todos os
e conscientização em segurança quanto no nível de preparo de
diferentes estilos de aprendizado. Apresentar a seu público um estilo
suas pessoas.
de aprendizado único limita a experiência, o consumo de material e a
• Ser o exemplo de comportamento: se você espera que sua organização retenção geral. Pode parecer tentador usar seu departamento interno
faça tudo certo, sua liderança deve ser um exemplo a ser seguido. de treinamento para liderar o desenvolvimento desse programa ou fazer
Os executivos devem participar ativamente de todos os aspectos da parceria com um fornecedor que trabalhe com uma abordagem única
conscientização em segurança em toda a organização, o que inclui para todos. As duas opções levarão a uma incapacidade de longo prazo
participar dos mesmos requisitos de treinamento de conscientização em de moldar os pensamentos e as ações relacionados à segurança do
segurança que do restante de seus funcionários. seu público.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos

Pontos principais
principais
Intodução Pontos principais para Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para aa empresa
empresa
PONTOS PRINCIPAIS PARA A EMPRESA Relatório global de benchmark de Phishing por setor de 2022 27
• Pensar como um profissional de marketing: em paralelo com o executivos de segurança e gerenciamento de riscos podem temer uma
conteúdo e as campanhas de simulação de phishing, adicione mensagens frequência excessiva, mas, na verdade, isso ajuda a formar o nível certo
frequentes e relevantes na forma de materiais de apoio auxiliares de “memória muscular” de segurança para combater as estratégias de
(pôsteres, sinalização digital, boletins informativos etc.) e encontre ataque agressivas e dinâmicas, tanto hoje como no futuro.
oportunidades durante reuniões e apresentações entre equipes para
reforçar os pontos principais. Promover um “almoço com aprendizado”
• Contratar as pessoas certas: os programas de conscientização em
segurança são geralmente liderados por profissionais de segurança
para os funcionários e alguns exercícios de discussão durante as reuniões
que foram escolhidos para assumir a tarefa que ninguém queria fazer
de liderança é um jeito atrativo de propagar informações e interagir
ou que tinham tempo extra para assumir essa “coisa de treinamento”.
diretamente com seu público.
Entretanto, gerenciar um programa dessa magnitude exige certo nível
• Mobilizar um programa de “Portador da cultura” de segurança: de experiência e conhecimento. Envolva candidatos criativos, que
muitos programas de segurança e risco não têm os recursos necessários estejam cientes do desenvolvimento organizacional e das mudanças de
para engajar apropriadamente uma organização global. Os programas de comportamento por meio do aprendizado.
“portador da cultura” de segurança podem ter nomes diferentes, como
“Champions de segurança”, “Embaixadores de segurança”, “Contatos de
• Definir objetivos: determine com antecedência quais são os critérios
de sucesso do seu programa e como você fará a
segurança”, “Influenciadores de segurança” etc. Independentemente do mensuração. Caso contrário, é impossível medir
nome que você atribuir, um programa de portador da cultura envolve a eficácia do programa e determinar seu
uma equipe de defensores distribuídos na organização que pode reforçar valor inerente.
as mensagens de segurança e o aprendizado em níveis locais. O fator
de responsabilidade também entra em jogo aqui. Muitos funcionários • Mensurar com eficácia: o uso de métricas
acreditam que gerar a conscientização em segurança é responsabilidade que reforçam os comportamentos
de alguém. Com a participação de influenciadores locais por meio da desejados é importante para ajudar
indicação de um gerente ou por voluntariado, você cria uma rede de a proteger sistemas, funcionários
pessoas encarregadas pela segurança que podem se relacionar com e dados. Não caia na armadilha
as comunidades locais e começar a ajudar a moldar a cultura geral de de selecionar muitos critérios de
segurança. mensuração, pois isso só leva à avaliação
de áreas irrelevantes e/ou à entrega
• Adicionar testes de simulação de phishing: como já abordamos nesta insuficiente dos resultados organizacionais
pesquisa, ao adicionar campanhas frequentes de simulação de phishing prometidos. Empregar dados mensuráveis e
ao seu programa geral de conscientização em segurança, você aumentará treinamentos que possam ser frequentemente
a resiliência de comprometimento de seus funcionários e também a quantificados e qualificados é primordial. Além disso,
capacidade deles de detectar um e-mail suspeito. as métricas do programa devem estar alinhadas aos objetivos gerais de
• Aumentar a frequência: o tempo todo, ou você adquire forças, segurança organizacional e aos objetivos corporativos.
ou permitirá a atrofia. Nossa pesquisa aponta que a maioria das
organizações que não vê uma mudança de comportamento favorável
• Motivar os funcionários: aja com intenção e consistência em sua forma
de usar reforços positivos e negativos para incentivar seu público a
limita seus programas (tanto de conteúdo quanto de simulação de concluir o treinamento necessário, aderir às políticas de segurança e
phishing) a uma frequência anual, semestral ou trimestral. Com a pouca demonstrar um comportamento contínuo, favorável e seguro. O uso
frequência na aplicação dos testes, você está, basicamente, realizando de motivadores aumenta a responsabilização e a função geral dos
testes basais momentâneos que não podem ser comparados de maneira funcionários em aderir a uma cultura mais segura.
significativa. A recomendação é fornecer ao seu público um conteúdo
mensal e campanhas de simulação de phishing (duas vezes por mês para
alvos de risco alto). É preciso haver uma cadência regular para viabilizar
o condicionamento apropriado e a mudança de comportamento. Os
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos

Pontos principais
principais
Intodução Pontos principais para Como começar
Phishing por setor de Phish-prone™ por setor de Phishing para aa empresa
empresa
COMO COMEÇAR Relatório global de benchmark de Phishing por setor de 2022 28
Quatro etapas para aplicar phishing nos seus usuários

Está claro que as organizações podem reduzir drasticamente a vulnerabilidade e
mudar o comportamento do usuário final por meio de testes e treinamento. Siga
estas etapas para colocar sua organização no caminho certo para desenvolver seu
firewall humano.
COMO COMEÇAR
A KnowBe4 ajuda dezenas de milhares de profissionais
1 Realize testes basais: a realização de um teste basal é o primeiro passo
para demonstrar a necessidade de treinamento de conscientização em
segurança para a liderança sênior da organização. É um teste que avalia
de TI como você a aprimorar sua segurança cibernética
em áreas como finanças, energia, saúde, governo, a Porcentagem de Phish-prone de seus usuários. Também são dados
seguros e muito mais. necessários para a mensuração do sucesso futuro.
Com a KnowBe4, você tem a melhor plataforma de

treinamento e simulação de phishing da categoria para
aprimorar a última linha de defesa da sua organização: 2 Treine seus usuários: use um treinamento interativo, atrativo e sob
demanda por computador em vez dos ultrapassados slides em PowerPoint.
seu firewall humano. Módulos e vídeos de conscientização devem orientar os usuários sobre como
uma tentativa de phishing ou engenharia social pode acontecer com eles.
Ajudamos os seus funcionários a tomarem decisões de
segurança mais inteligentes todos os dias. Ajudamos
você a projetar um plano de defesa de segurança de TI
orientado por dados que tem como ponto de partida
as ameaças “bem-sucedidas” mais prováveis em sua
organização: seus funcionários. A metodologia da 3 Aplique phishing em seus usuários: pelo menos uma vez por mês, faça um teste
com sua equipe para reforçar o treinamento e continuar o processo de aprendizado.
KnowBe4 funciona mesmo. Pronto para começar? A intenção é treinar uma mentalidade e criar novos hábitos. Leva tempo para
colocar isso em prática. A aplicação de testes de simulação de engenharia social pelo
menos uma vez por mês é eficaz para a mudança de comportamento.
4 Mensure os resultados: acompanhe como sua força de trabalho responde

ao treinamento e ao phishing. Sua meta é chegar o mais próximo possível de
zero por cento de Phish-prone.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Como começar
COMO COMEÇAR Relatório global de benchmark de Phishing por setor de 2022 29
Planeje como um profissional de marketing, mas teste como um invasor

Embora todo líder possa reduzir riscos considerando a PPP dos funcionários, existem várias melhores práticas que podem trazer mudanças duradouras.
01 Use métodos de ataque reais

Seus exercícios de simulação de phishing devem ser parecidos com os ataques e as metodologias reais. Caso
contrário, seu “treinamento” dará à organização uma falsa sensação de segurança.
Não faça sozinho

02 Envolva outras equipes e outros executivos, como equipes de Recursos Humanos, TI e
Conformidade, e até mesmo de Marketing. Crie uma cultura de segurança positiva em toda a
organização.
03 Não tente fazer um treinamento completo

Escolha os comportamentos que você deseja moldar e priorize os dois ou três principais.
Concentre-se em mudar esses comportamentos por 12 a 18 meses.
04 Dê relevância
As pessoas se importam com o que é relevante para elas. Portanto, suas simulações de ataque
devem afetar as atividades diárias de um funcionário.
Aja como se o seu programa fosse uma campanha de marketing

05 Para fortalecer a segurança, você deve se concentrar na mudança de comportamento, não apenas em dizer aos
funcionários o que você gostaria que eles soubessem. Passe a eles as informações críticas necessárias, mas
mantenha o foco em condicionar seus reflexos de segurança para que sua força de trabalho se torne uma última
linha de defesa eficiente.
Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais Como começar
CRIE SEU FIREWALL HUMANO
Teste de phishing gratuito
Pronto para aplicar um golpe de phishing em seus usuários? Faça este teste de phishing gratuito e descubra qual é a Porcentagem de Phish-prone
de seus funcionários. Além disso, veja a comparação com seus pares usando os benchmarks de phishing por setor! Com o teste de phishing da
KnowBe4, você pode obter os mesmos resultados finais do estudo.
RECURSOS ADICIONAIS SOBRE A KNOWBE4

Programa automatizado de conscientização em segurança A KnowBe4 é a maior plataforma integrada do mundo de treinamento de
Crie um programa de conscientização em segurança conscientização em segurança e simulação de phishing. Reconhecendo que o
personalizado para sua organização elemento de segurança humano tem sido seriamente negligenciado, a KnowBe4
foi criada para ajudar as organizações a administrar o problema de engenharia
social por meio de uma abordagem moderna e completa de treinamento de
conscientização em segurança.
Phish Alert Button gratuito
Agora seus funcionários podem denunciar ataques de Esse método integra testes de referência que simulam ataques do mundo
phishing de maneira segura com apenas um clique real, treinamento interativo e dinâmico, avaliação contínua com simulação
de ataques de phishing e vishing e relatórios de nível corporativo voltados ao
desenvolvimento de uma organização mais resiliente, que tem a segurança
Verificação de exposição de e-mail gratuita como prioridade.
Descubra quais e-mails de usuários estão expostos antes que
Dezenas de milhares de organizações no mundo todo usam a plataforma da
os agentes mal-intencionados façam isso
KnowBe4 em todos os setores, incluindo campos altamente regulamentados,
como finanças, saúde, energia, governo e seguros, para mobilizar seus usuários
finais como uma última linha de defesa e capacitá-los a tomar decisões mais
Domain Spoof Test gratuito inteligentes sobre segurança.
Descubra se os atacantes conseguem falsificar um endereço
de e-mail no seu domínio Para obter mais informações, acesse: www.KnowBe4.com
No Brasil, somos El Pescador, uma empresa KnowBe4 | Av. Ibirapuera, 2315 - 14º andar - SL. 142 CEP 04029-200 | São Paulo-SP | www.KnowBe4.com |
contato@elpescador.com.br | Telefone: 55 (11) 39584207
© 2022 KnowBe4, Inc. Todos os direitos reservados. Os nomes de outros produtos e empresas mencionados aqui são marcas comerciais e/ou marcas registradas de suas
respectivas empresas.
11C06K04

Phishing Setor: Relatório de Benchmark E D I Ç Ã O D E 2 0 2 2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Phishing Setor: Relatório de Benchmark E D I Ç Ã O D E 2 0 2 2

Enviado por

Direitos autorais:

Formatos disponíveis

PHISHING POR

De acordo com o Relatório de investigações sobre violação de dados da Verizon de

INTRODUÇÃO Muitas organizações primeiro recorrem à tecnologia como recurso

Intodução Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos principais

A KnowBe4, fornecedora da maior plataforma de treinamento de

ANÁLISE DE IMPACTO DO TREINAMENTO

FASE UM FASE DOIS FASE TRÊS

METODOLOGIA E CONJUNTO DE DADOS

milhões 22.558 Serviços comerciais

de testes organizações Construção

Organizações sem fins lucrativos

mil Atacado e varejo

1 A 249 250 A 999 MAIS DE 1.000 Transporte

Quem corre risco?

A média basal geral da PPP em 2022 entre todos os setores e portes de

FASE UM: RESULTADOS BASAIS DO TESTE ,4% Resultados basais

• Entre todos os setores e portes, a Porcentagem de Phish-prone média foi de

FASE DOIS: RESULTADOS DO TESTE DE

Bancos 12,3% 13,6% 15,6%

FASE TRÊS: RESULTADOS DO TESTE DE

Bancos 2,6% 3,3% 3,4%

ÍNDICES DE MELHORIA MÉDIA EM TODOS OS

BENCHMARKS INTERNACIONAIS DE PHISHING EM 2022

Fase um Fase dois Fase três

28,7% 30,2% 35,8% 17,4% 17,9% 17,4% 3,5% 4,6% 6%

(Ásia, Oceania e Austrália) TOTAL: 34,5% TOTAL: 16,9% TOTAL: 5,4%

AMÉRICA DO NORTE Nas organizações cujos setores são

REINO UNIDO E IRLANDA Impacto econômico

Atitudes gerais Enquanto o ransomware dominava os noticiários, o NCSC destacava as

250 a 999 28,2% 18,2% 6,7%

Mais de 1.000 31,1% 18,9% 8%

PPP média entre organizações de todos os portes 29,9% 18,5% 6,3%

Perfil de negócio típico O Relatório da KnowBe4 de conscientização e segurança cibernética na

250 a 999 27,4% 21% 12,7%

Mais de 1.000 32,4% 17,9% 4%

PPP média entre organizações de todos os

Perfil de negócio típico

Por exemplo, em 2020, o Brasil se destacou

PPP média entre organizações

APAC, AUSTRÁLIA E NOVA ZELÂNDIA

A PAC BASAL 9 0 DI A S 1 A NO • Informar e conscientizar todos os cidadãos sobre os riscos cibernéticos e

PONTOS PRINCIPAIS: O VALOR DE UM TREINAMENTO DE CONSCIENTIZAÇÃO EM

O sistema da KnowBe4 funciona mesmo

• Um protocolo claramente definido e comunicado

• Um forte alinhamento com as políticas organizacionais de segurança 20%

• Equipe de conscientização em segurança

para mudar favoravelmente os comportamentos gerais de segurança em

Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos

Estudo de benchmark de Calculando a porcentagem Benchmarks internacionais Pontos

Quatro etapas para aplicar phishing nos seus usuários

Com a KnowBe4, você tem a melhor plataforma de

4 Mensure os resultados: acompanhe como sua força de trabalho responde

Planeje como um profissional de marketing, mas teste como um invasor

01 Use métodos de ataque reais

Não faça sozinho

03 Não tente fazer um treinamento completo

Aja como se o seu programa fosse uma campanha de marketing

RECURSOS ADICIONAIS SOBRE A KNOWBE4

Você também pode gostar