O erro humano continua a ser um facilitador de ataques cibernéticos, por isso as empresas precisam investir em treinamento das equipes (Crédito: Freepik)

Os investimentos em Inteligência Artificial (IA) – que miram o potencial dessa tecnologia de gerar valor, produtividade e ferramentas transformadoras para o negócio – ultrapassam 20% dos orçamentos das organizações que estão focadas em liderar a transformação. A tendência, aliás, é investir ainda mais em 2025, inclusive no Brasil. Isso significa elevar também a segurança cibernética (com gastos globais projetados de US$ 211,5 bilhões) contra vazamentos de dados e possíveis ataques cibernéticos, e olhar com muita atenção para o desenvolvimento de habilidades de funcionários dentro da empresa.

O fator humano é central para a segurança cibernética. O erro humano continua a ser um facilitador de ataques cibernéticos e, quando somado à falta de conformidade com as melhores práticas, aparece entre os maiores desafios internos nas organizações, de acordo com o relatório “EY 2023 Global Cybersecurity Leadership Insights Study“. A pesquisa cruzou dados de mais de 18 mil pesquisas acadêmicas e tendências em cibersegurança com entrevistas aprofundadas com líderes de segurança cibernética em cinco setores diferentes nas Américas, Ásia-Pacífico (APAC) e Europa, Oriente Médio, Índia e África (EMEIA).

“O fator humano é o início e o fim no ataque cibernético”, explica Demetrio Carrión, Cybersecurity Leader para a EY América Latina. “É o início quando se criam as principais vulnerabilidades e se permitem grande parte das invasões. O fim porque são os seres humanos que sofrem os impactos financeiros, reputacionais e ambientais”.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

De acordo com Carrión, quando os executivos de uma empresa ou a sociedade não entendem quais impactos um incidente cibernético pode causar, são feitos menos investimentos em tempo e recursos financeiros para barrar as ameaças. Da mesma forma, maior é a lacuna de segurança e os ataques, por consequência, tornam-se mais disruptivos. “O roubo de credenciais válidas e ataque por phishing somam mais de 70% dos ataques bem-sucedidos nos últimos 12 meses”, completa.

À medida que as organizações integram a IA em suas operações, o papel da força de trabalho se torna ainda mais importante. A Inteligência Artificial automatiza processos e melhora a eficiência, mas ainda são as pessoas que definem como a IA é implementada, mantida e protegida. 

Cibersegurança e melhores práticas

O relatório da EY indica que 50% da literatura acadêmica relacionada à cibersegurança se concentra em treinamento e educação, mostrando que essa é a maior área de foco na gestão cibernética. Além disso, 23% dessa pesquisa relaciona a IA com o treinamento em segurança cibernética, ressaltando a crescente necessidade de os funcionários receberem orientação e treinamento sobre o uso responsável da Inteligência Artificial.

Quando falamos em treinamento de colaboradores, é importante ressaltar que esse conhecimento terá níveis de aprofundamento diferentes para quem trabalha na TI e para o restante da organização. De acordo com análise da EY, apenas 36% dos Chief Information Security Officers (CISOs) estão satisfeitos com a adoção das melhores práticas cibernéticas pelos colaboradores que não pertencem à TI da organização. Isso destaca a necessidade de programas de treinamento abrangentes que integrem as habilidades de IA e de segurança cibernética. Treinar os funcionários para usar a IA com uma compreensão clara de suas implicações ajuda a reduzir as vulnerabilidades.

As organizações mais maduras e que fazem melhor uso integrado de tecnologias emergentes a seu sistema de segurança cibernética, chamadas “Secure Creators“, estão mais satisfeitas com a adoção de melhores práticas de cibersegurança do que as demais (47% contra 27%). A indicação da EY e que consta do relatório, é que “ser brilhante no básico deve ser o foco”. “As organizações devem simplificar as melhores práticas exigidas à força de trabalho e criar barreiras nos seus processos para limitar os riscos, em vez de confiar na conformidade. Organizações mais maduras recebem treinamento regular incremental e aproveitam as mais recentes ferramentas preventivas e de automação. Tornar a segurança cibernética uma segunda natureza, incorporando-a na psique de cada pessoa na organização, ajudará a garantir uma formação e adesão mais eficazes”.

O treinamento para usar tecnologias de IA não deve se concentrar apenas em habilidades técnicas, mas também em promover uma mentalidade de segurança cibernética. Os funcionários que entendem como a IA funciona e os possíveis riscos estão mais bem equipados para detectar anomalias que possam significar uma violação. Por exemplo, o estudo EY de 2023 mostra que as organizações com um tempo de resposta 50% mais rápido a incidentes cibernéticos também eram aquelas com sistemas de IA e automação implementados, combinados com uma força de trabalho bem treinada.

As organizações precisam oferecer aos colaboradores informações sobre como gerenciar os insights gerados pela IA de forma responsável, principalmente em termos de consentimento de dados e protocolos de reutilização. Não fazer isso pode levar a riscos legais e de conformidade, como a exposição de dados confidenciais, que afetam não somente as pessoas, mas a empresa responsável. Garantir que os funcionários sejam treinados não apenas sobre como usar a IA, mas também sobre como fazê-lo de forma responsável, portanto, é fundamental para manter a segurança cibernética.

Por que o treinamento para IA com foco em pessoas é fundamental

Treinar os funcionários para reconhecer possíveis ameaças é uma das maneiras mais eficazes de aumentar a segurança organizacional. O “EY 2023 Global Cybersecurity Study” constatou que as organizações que aproveitam a IA para a segurança cibernética tiveram ganhos de eficiência entre 15% e 40%. Esses ganhos se devem, em grande parte, à automação de tarefas demoradas, permitindo que os funcionários humanos se concentrem no trabalho estratégico de nível superior.

Para enfrentar os principais desafios das organizações em relação à força de trabalho quando o assunto é segurança cibernética, Demetrio Carrión traz alguns pontos. “Definir um programa de conscientização disciplinado, multianual e que persiga as métricas corretas de efetividade é um passo importante”, afirma o Cybersecurity Leader para a EY América Latina. “Medir a eficácia de programas de conscientização por quantidade de profissionais que fizeram um curso é fácil, mas não indica se o objetivo final foi alcançado. Vamos além da conscientização; vamos pensar em mudança de comportamentos e passar a medir se esses comportamentos mudaram após intervenções de ensino, como por exemplo, a forma como os usuários navegam, se links em vez de arquivos estão sendo compartilhados por e-mail e assim por diante”.

Uma força de trabalho bem treinada pode ajudar a detectar esses riscos antecipadamente, identificando comportamentos suspeitos que os sistemas automatizados podem não perceber. À medida que os funcionários se familiarizam com os recursos e riscos da IA, é mais provável que estejam atentos a possíveis ameaças e saibam como manter a segurança durante todo o ciclo de vida da IA. Esse foco duplo em IA e treinamento em segurança cibernética garante que as organizações estejam bem equipadas para enfrentar o cenário de ameaças em evolução. E, no final das contas, tudo isso é valor para a empresa.

SOBRE ESTE CONTEÚDO

A série Ciberinteligência é um projeto conjunto da divisão de cibersegurança da EY em parceria com a The Shift. Com atuação em Assurance, Consulting, Strategy, Tax e Transactions, a EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países contribuem para o crescimento, transformação e operação de seus clientes. Saiba mais sobre como geramos valor as empresas por meio da tecnologia.

• cibersegurança
• ciberinteligência