Em um momento em que os golpes digitais estão cada vez mais refinados e difíceis de detectar, a principal linha de defesa das empresas não está só nos sistemas de computador, mas sim no comportamento humano. Treinar os colaboradores para adotar uma verdadeira cultura de ceticismo, que nada mais é do que o hábito saudável e preventivo de duvidar, pausar e investigar mensagens de e-mail ou celular antes de realizar qualquer ação, tornou-se a maior prioridade para proteger os negócios contra o phishing, golpe virtual baseado no envio de mensagens falsas projetadas para enganar as pessoas, roubar informações confidenciais ou infectar computadores.
De acordo com Pedro Azevedo, gerente de TI do Ciesp (Centro das Indústrias do Estado de São Paulo), os cibercriminosos hoje usam técnicas refinadas de engenharia social para se passarem por diretores, fornecedores ou até advogados. “A tecnologia de segurança evoluiu muito, mas o comportamento humano continua sendo a porta de entrada mais comum para invasões. Nós podemos instalar as melhores barreiras digitais do mercado, mas se um funcionário for induzido a entregar voluntariamente suas credenciais e senhas, o invasor ganha acesso livre e legítimo aos sistemas”, alerta Azevedo.
Como entidade que representa e lidera cerca de 8 mil empresas associadas, reunindo indústrias e prestadoras de serviços ligadas ao setor paulista, o próprio Ciesp serve como exemplo prático de reestruturação de controles de segurança da informação.
Inicialmente, a entidade investiu na readequação de sua infraestrutura, com ativos de segurança de rede de última geração, que engloba toda a parte física da tecnologia e dispositivos de proteção de dados (firewalls, antivírus e backup).
Com a estrutura física consolidada, a área de tecnologia do Ciesp executou um pentest (teste de invasão) em parceria com o Senai de São Caetano do Sul, que é especializado em ciberssegurança, e após aplicar as recomendações de melhoria, iniciou simulados e treinamentos de conscientização dos usuários, seguindo um cronograma que prevê a realização de mais quatro capacitações internas até o final do ano.
Para Alfredo Emilio Bonduki, 1º diretor financeiro e DPO (Encarregado de Proteção de Dados) do Ciesp, a segurança digital precisa deixar de ser vista apenas como um custo técnico e passar a ser tratada como prioridade de investimento estratégico nas corporações. “O investimento em ciberssegurança não é um gasto sem retorno, mas sim uma vacina financeira indispensável para a continuidade dos negócios”, afirma Bonduki.
O alerta é respaldado por estatísticas alarmantes de 2026. Globalmente, os ataques cibernéticos impulsionados pelo uso malicioso de Inteligência Artificial registraram uma alta de 89% em comparação ao ano anterior (Relatório Global de Ameaças da CrowdStrike).
No Brasil, o cenário é ainda mais crítico: o país registrou marcas históricas, ultrapassando a média de 4 mil tentativas de ataques cibernéticos por semana para cada organização ativa, consolidando o país entre os mais visados por quadrilhas de sequestro de dados no mundo (Relatório de Inteligência de Ameaças da Check Point Software).
Um simples clique
Os links enganosos e persuasivos costumam chegar por e-mail ou por mensagens de celular, como SMS ou aplicativos de conversa de uso diário. Os prejuízos para o negócio podem ser gigantescos e costumam acontecer de duas formas principais: o roubo de identidade (quando induzido a digitar o usuário e a senha em uma página falsa, o colaborador, sem perceber, entrega os seus dados de acesso para o criminoso) e a instalação de vírus silenciosos (quando o simples clique em um link inicia o download de um vírus que se espalha silenciosamente pelos computadores e servidores da empresa).
10 dicas importantes para proteger sua empresa
Para as pequenas e médias indústrias e prestadoras de serviços do setor, que muitas vezes operam com equipes enxutas e recursos limitados, Pedro Azevedo aponta que proteger o negócio é totalmente possível por meio de medidas simples e focadas:
1- Ativação do MFA (Dupla Autenticação)
Uma barreira de segurança totalmente gratuita que exige uma confirmação extra além da senha para impedir acessos não autorizados. O recurso já vem integrado nativamente nas principais plataformas corporativas do mercado, como Microsoft 365, Google Workspace, WhatsApp Business e Slack.
2- Cultura de checagem
Diante de pedidos urgentes de dados ou pagamentos, mesmo simulando a diretoria, a regra é não clicar e não pagar! A equipe deve confirmar a demanda por um canal de comunicação diferente daquele em que a mensagem foi recebida, validando por telefone um pedido enviado por e-mail, por exemplo.
3- Treinamento Integral
A capacitação contra fraudes deve envolver toda a empresa: da liderança aos colaboradores. Além de blindar o negócio, esse aprendizado prático ensina profissionais de todos os cargos a protegerem também suas contas pessoais no cotidiano.
4- Acolhimento
A empresa deve sensibilizar e acolher os funcionários para que se sintam seguros ao relatar cliques acidentais ou vazamentos, sem medo de críticas ou julgamentos, agilizando a contenção do erro.
5- Backup Duplo (Backup 3-2-1)
Mantenha pelo menos três cópias dos dados em dois meios diferentes, sendo uma delas fora do ambiente principal (em nuvem ou local externo). Garanta que a equipe própria de TI ou consultoria contratada promova testes periódicos de recuperação para se certificar de que o sistema funciona de verdade.
6- Antivírus Corporativo com proteção em tempo real
Utilize uma solução corporativa moderna, capaz de identificar comportamentos suspeitos, bloquear ransomware (sequestro de dados) e isolar rapidamente equipamentos comprometidos.
7- Atualizações automáticas
Mantenha computadores, notebooks, servidores e celulares sempre atualizados. Grande parte dos ataques explora falhas conhecidas para as quais já existem correções disponibilizadas pelos fabricantes.
8- Proteção do e-mail
Implemente filtros avançados contra phishing, anexos maliciosos e links suspeitos. O e-mail é o principal vetor dos ataques.
9- Plano de Resposta a incidentes
Todos na empresa devem saber o que fazer ao suspeitarem de um golpe (desconectar o computador da rede, não apagar evidências, alterar senhas quando necessário, por exemplo). Quanto mais rápida a resposta, menor o impacto.
10- Controle de privilégios
Colaboradores não devem ter autonomia para instalar sistemas e aplicativos sem autorização da TI nos dispositivos da sua empresa.