Phishing por Segmento

Relatório Benchmarking 2024

Descubra como sua empresa está desempenhando

Phishing por Segmento | Relatório Benchmarking 2024

Descubra como sua empresa está desempenhando quando comparada com outras do mesmo setor

18/jun/24

 

O Relatório: Benchmark por Segmento da KnowBe4 (Edição 2024, está em inglês e por isso tomamos a liberdade de fazer este breve resumo executivo em português mostrando um pouco das métricas e resultados encontrados na pesquisa.

 

Este novo estudo da KnowBe4, analisou um conjunto de dados de 11,9 milhões de usuários em 55.675 organizações com mais de 54 milhões de testes simulados de phishing. A pesquisa destaca as porcentagens de propensão ao clique dos funcionários por segmento empresarial, revelando a quantidade de usuários em risco que são suscetíveis a ataques de phishing ou engenharia social. A pesquisa também revela as melhorias que podem ser esperadas depois que as campanhas de conscientização são conduzidas por períodos de 3 e 12 meses. 

 

A camada humana continua a ser o vetor de ataque mais atraente para os criminosos cibernéticos. Infelizmente, a maioria das organizações continua a negligenciar este fato. Ao longo de 2023, o mundo continuou a ver aumentos significativos nos ataques de phishing. Empresas de grande e pequeno porte em todos os segmentos estão na mira. Ninguém está imune. O fator humano está sob ataque nos ambientes corporativos e domésticos. Isso tudo acontece dia e noite, através de vários tipos de engenharia social.

 

O Centro de Reclamações de Crimes na Internet do FBI (IC3), segue recebendo milhares de reclamações sobre crimes e fraudes do público norte americano 880.418 reclamações relatadas (um aumento de quase 10% em relação a 2022) com potencial de perdas superiores a US$ 12.5 bilhões. No Brasil, em 2023, o CERT.BR (*) recebeu mais de 620.000 incidentes reportados, número também 29% superior ao ano anterior.

 

A maioria das organizações recorre primeiro à tecnologia como meio para combater o crime cibernético, sem levar em conta que investir em conscientização poderia ser tão importante quanto, ou mais, que a própria tecnologia!

 

O relatório de investigações sobre violação de dados da Verizon (2024) afirma que “o elemento humano continua a gerar violações. No realtório publicado este ano, 68% das violações envolveram o fator humano. Seja o uso de credenciais roubadas, phishing, uso indevido ou simplesmente erro, as pessoas continuam a desempenhar um papel muito importante nos incidentes.”

 

Os líderes e profissionais de segurança que continuam a investir exclusivamente em tecnologia correm o risco de ignorar uma prática importante e comprovada para reduzir sua vulnerabilidade: um programa profissional e bem estruturado de conscientização em segurança da informação. Esta abordagem não só ajuda a aumentar o nível de prontidão dos humanos para combater o crime cibernético, mas também estabelecer a base crítica necessária para impulsionar uma forte cultura de segurança em toda a organização.
 

A distração pode facilmente levar ao desastre.  Os profissionais de segurança da informação precisam saber o que acontece quando seus funcionários recebem e-mails de phishing. Eles clicam nos links? Vazam credenciais? Fazem o download de arquivos maliciosos? Simplesmente ignoram?  Ou, de forma positiva, relatam o ocorrido desempenhando um papel ativo na camada de defesa humana e protegendo os ativos da corporação? 

 

A suscetibilidade dos colaboradores a esses ataques de phishing é conhecido como Phish-Prone™ Percentage (PPP). Para o português seria algo como Percentual de Propensão ao Phishing (PPP). Ao traduzir o risco de phishing em termos mensuráveis, os profissionais de segurança da informação podem quantificar e gerenciar as diversas situações adotando um tratamento que reduza a superfície de ataque sobre o fator humano dentro de suas empresas.
 

Entendendo o Risco por segmento empresarial

O PPP de uma organização indica quantos de seus colaboradores estão propensos a cair em golpes de engenharia social ou phishing. Estes são os colaboradores que podem ser induzidos a clicar em um link, abrindo um arquivo infectado com malware ou transferindo, indevidamente, fundos da empresa para a conta bancária de um ciber criminoso. Um PPP alto indica maior risco, pois aponta para um número maior de colaboradores que são ludibriados pelos golpes. Um PPP baixo é ideal, pois indica que a equipe é experiente em segurança e entende como reconhecer e encerrar tais tentativas criminosas.
 

Metodologia para o estudo publicado em 2024
Todas as organizações foram categorizadas por tipo de indústria (segmento) e tamanho. Para calcular o PPP de cada organização, a KnowBe4 mediu o número de colaboradores que clicaram em um link de e-mail de phishing simulado ou abriram um anexo infectado durante as campanhas de testes usando a plataforma KnowBe4 (KSAT: KnowBe4 Security Awareness Training).


Neste relatório foram usadas as seguintes fases para a coleta de métricas:

  • Fase 1: resultados dos testes iniciais (baseline) de segurança contra ataques phishing.
  • Fase 2: resultados dos testes de segurança contra ataques phishing depois de 90 dias de treinamento.
  • Fase 3: resultados dos testes de segurança contra ataques phishing após um ano (ou mais) de treinamento contínuo.

Quem está em risco?
Segmentos de maior propensão ao clique, por tamanho de empresa

O gráfico abaixo resume os resultados apresentados no relatório da KnowBe4 mostrando os segmentos de maior destaque, por tamanho de empresa.

Propensão ao clique na América do Sul, por tamanho de empresa

Ao acessar o relatório Phishing Benchmarking da KnowBe4, você encontrará quadros detalhados com os diferentes resultados:

  • Resultados por fase.
  • Resultados por região.
  • Resultados por segmento.
  • Resultados por tamanho de empresa.

 

Conclusão
Os líderes de segurança da informação e gerenciamento de riscos precisam entender que para mudar favoravelmente os comportamentos relativos à segurança da informação dentro de suas organizações, precisam implementar programas com as seguintes características:

  • O programa deve ser claramente definido, comunicado e implementado
  • Devem garantir alinhamento com as políticas de segurança
  • Manter uma conexão ativa com a cultura geral de segurança
  • Ter o apoio total dos executivos

 

Sem um apoio executivo consistente e efetivo, “fazer por fazer” a conscientização sobre segurança dentro de uma organização é uma atividade fadada a falhar.

 

Abaixo, alguns pontos de atenção que os executivos de segurança e gerenciamento de riscos devem ter para garantir o sucesso de seus programas:

  • Promover continuamente uma cultura de segurança.
  • Liderar a iniciativa “top/down” com presidente e diretores dando exemplo do comportamento esperado.
  • Engajar com sistemas, conteúdos e profissionais especializados.
  • Pensar como um “marketeiro” para planejar e executar campanhas de treinamento e simulações efetivas.
  • Mobilizar pessoas para um programa de “Embaixadores da Segurança”.
  • Fazer testes phishing simulados ao menos uma vez por mês.
  • Implementar os testes e treinamentos em uma cadência regular.
  • Contratar as pessoas certas que estejam dispostas a trabalhar a combinação entre segurança da informação e cultura corporativa.
  • Definir objetivos.
  • Medir resultados.
  • Motivar os colaboradores.
     

Solicite agora o relatório benchmarking por segmento
Basta fazer sua solicitação diretamente no site da KnowBe4:

(*1): O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) é um Grupo de Resposta a Incidentes de Segurança (CSIRT) de Responsabilidade Nacional, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. O NIC.br é uma organização privada sem fins lucrativos criada para implementar as decisões e os projetos do CGI.br, que é o responsável por coordenar e integrar as iniciativas e serviços da Internet no país. Mais em https://www.cert.br/