Em meio à crescente complexidade das ameaças cibernéticas, uma verdade permanece evidente: as pessoas, incluindo usuários autorizados e atacantes externos, estão no centro do risco de segurança cibernética. Embora o elemento humano do risco de cibersegurança seja amplamente conhecido, as complexidades do ambiente de trabalho moderno tornam cada vez mais difícil para as pessoas tomarem decisões informadas sobre dados confidenciais, riscos digitais e protocolos de segurança:
- Para cada mensagem que recebem, eles precisam avaliar rapidamente se ela é legítima, geralmente com base em dicas tão sutis quanto tom, ortografia, gramática e formatação.
- Ao lidar com dados confidenciais, eles devem equilibrar a necessidade de acessar e usar as informações com o imperativo de protegê-las de partes não autorizadas.
- Ao navegar na nuvem, eles devem tomar decisões de alto risco sobre confiança e risco em tempo real quando recebem solicitações de autorização.
O grande volume dessas decisões, muitas vezes tomadas sob coação ou com informações limitadas, pode levar a uma tomada de decisão abaixo do ideal. Além disso, existem preconceitos cognitivos inerentes que influenciam o processo de tomada de decisão humano, incluindo:
- Viés de confirmação, a tendência de priorizar padrões familiares em detrimento de anomalias suspeitas.
- Viés de disponibilidade, a confiança em experiências recentes em vez de evidências objetivas.
- Fadiga cognitiva, a diminuição da capacidade de raciocinar com eficácia após exposição prolongada a alertas e avisos de segurança.
Esses fatores criam uma tempestade perfeita de incertezas, em que até mesmo as pessoas mais bem-intencionadas podem comprometer inadvertidamente a segurança organizacional. Além disso, os atacantes buscam constantemente explorar essas vulnerabilidades, geralmente usando táticas sofisticadas de engenharia social que manipulam os usuários para que tomem ações que possam parecer benignas. Essa incerteza foi intensificada ainda mais pelos recentes avanços no GenAI, que os atacantes usam para interagir com suas vítimas de uma maneira ainda mais personalizada e convincente.
Este relatório examina alguns dos riscos mais significativos enfrentados pelas organizações em todo o mundo e explora as estratégias bem-sucedidas de segurança cibernética que essas organizações adotaram para gerenciar esses riscos. Ele se concentra em quatro tipos de risco de segurança cibernética:
- Risco de engenharia social: os adversários tentam explorar o comportamento humano e contornar as medidas de segurança usando mensagens de phishing em vários canais, sites maliciosos, cavalos de Troia e outras táticas.
- Risco de aplicativos pessoais: a onipresença dos aplicativos pessoais em nuvem na empresa criou um ambiente em que os usuários, consciente ou inconscientemente, usam aplicativos pessoais para processar informações confidenciais, levando à perda do controle organizacional sobre os dados e possíveis violações de dados.
- Risco generativo de IA: as promessas da GenAI inspiraram uma porcentagem crescente de pessoas e organizações a usar uma variedade de GenAI para melhorar sua produtividade ou qualidade de trabalho, muitas vezes resultando na divulgação de informações confidenciais a terceiros não autorizados.
- Risco adverso: adversários altamente motivados geralmente têm bons recursos, são sofisticados e persistentes em suas tentativas de se infiltrar em uma organização.
O restante deste relatório explora esses quatro riscos com mais detalhes, com foco nas tendências observadas ao longo de 2024 e em 2025.