Conscientização em Segurança da Informação no Brasil

02/09/2025 mindsecblog Artigos, Notícias 0

Pesquisa inédita da Beephish revela panorama sobre campanhas de conscientização em Segurança da Informação no Brasil

Simulações de phishing lideram estratégias, mas estudo aponta lacunas de orçamento, estrutura e gestão que podem colocar empresas em risco

Uma pesquisa inédita realizada pela Beephish, empresa brasileira especializada em conscientização em segurança da informação, com foco principal na educação e treinamento de usuários para prevenir ataques cibernéticos, especialmente os baseados em engenharia social, como o phishing, em parceria com o Security Leaders, revela que, embora a maioria das organizações brasileiras já tenha campanhas estruturadas de conscientização em Segurança da Informação, ainda existem barreiras significativas relacionadas a orçamento, equipe e gestão de consequências.

O estudo ouviu 300 executivos brasileiros de Segurança da Informação para entender como as empresas conduzem seus programas de conscientização. Segundo Glauco Sampaio, CEO da Beephish, o cenário aponta avanços importantes, mas também evidencia que o amadurecimento pleno ainda depende de consistência e investimento.

Entre os principais dados do levantamento, destacam-se:

74,9% realizam simulações de phishing com seus usuários;
40,7% não possuem orçamento dedicado à conscientização;
30,8% não contam com equipe responsável pela cultura de segurança;
Apenas 30,6% têm política formal de gestão de consequências;
45,4% realizam campanhas mensais, enquanto 20,5% não possuem periodicidade definida.

“O dado de que quase 75% das empresas já aplicam simulações de phishing é positivo e mostra um esforço concreto em aproximar os usuários de situações reais de risco. No entanto, sem medir o impacto dessas ações e sem políticas claras para lidar com reincidências, é difícil transformar comportamento em cultura”, afirma Sampaio.

Ainda de acordo com o executivo, as simulações de phishing aparecem como a principal ferramenta de conscientização, reconhecida por sua efetividade em expor vulnerabilidades no comportamento dos usuários. Além disso, 68,7% das empresas já monitoram indicadores detalhados, como cliques e envio de dados, para direcionar ações corretivas.

Porém, a mensuração do impacto dessas ações ainda é um desafio: 41,5% das empresas afirmam não adotar nenhuma comunicação diferenciada para usuários reincidentes, e 42% não possuem diretrizes claras para gestão de consequências.

“A reincidência é um dos maiores desafios. Sem acompanhamento próximo e tratamento diferenciado para casos repetidos, corremos o risco de ter campanhas que informam, mas não transformam”, destaca Sampaio.

Ações top-down

O levantamento também mostra que a personalização das campanhas ainda não é prática comum: 32,5% das empresas utilizam a mesma comunicação para todos os públicos internos. Já exercícios de Table Top, voltados para executivos e áreas estratégicas, ainda são pouco adotados, o levantamento aponta que 27,8% das organizações não realizam nenhum tipo de treinamento desse tipo, enquanto as que aplicam tendem a focar em áreas técnicas, como TI e Segurança da Informação.

“Uma cultura de segurança só se consolida quando o exemplo vem de cima. É preciso que conselhos, líderes e equipes estratégicas estejam engajados e participem ativamente das ações de conscientização”, reforça o CEO da Beephish.

Desafio de cultura

Para Glauco Sampaio, a pesquisa revela que, embora a conscientização já esteja no radar das empresas, falta estrutura dedicada, segmentação de mensagens e políticas de responsabilização proporcionais.

“Conscientizar não é apenas repetir campanhas, mas provocar mudanças reais de comportamento. Isso só acontece com engajamento contínuo — do presidente ao estagiário”, conclui o executivo.