Pesquisa inédita da Beephish revela panorama sobre campanhas de conscientização em Segurança da Informação no Brasil

Simulações de phishing lideram estratégias, mas estudo aponta lacunas de orçamento, estrutura e gestão que podem colocar empresas em risco 

Glauco Sampaio - CEO da Beephish

Uma pesquisa inédita realizada pela Beephish, empresa brasileira especializada em conscientização em segurança da informação, com foco principal na educação e treinamento de usuários para prevenir ataques cibernéticos, especialmente os baseados em engenharia social, como o phishing, em parceria com o Security Leaders, revela que, embora a maioria das organizações brasileiras já tenha campanhas estruturadas de conscientização em Segurança da Informação, ainda existem barreiras significativas relacionadas a orçamento, equipe e gestão de consequências. 

O estudo ouviu 300 executivos brasileiros de Segurança da Informação para entender como as empresas conduzem seus programas de conscientização. Segundo Glauco Sampaio, CEO da Beephish, o cenário aponta avanços importantes, mas também evidencia que o amadurecimento pleno ainda depende de consistência e investimento. 

Entre os principais dados do levantamento, destacam-se: 

• 74,9% realizam simulações de phishing com seus usuários; 
• 40,7% não possuem orçamento dedicado à conscientização; 
• 30,8% não contam com equipe responsável pela cultura de segurança; 
• Apenas 30,6% têm política formal de gestão de consequências; 
• 45,4% realizam campanhas mensais, enquanto 20,5% não possuem periodicidade definida. 

“O dado de que quase 75% das empresas já aplicam simulações de phishing é positivo e mostra um esforço concreto em aproximar os usuários de situações reais de risco. No entanto, sem medir o impacto dessas ações e sem políticas claras para lidar com reincidências, é difícil transformar comportamento em cultura”, afirma Sampaio. 

Ainda de acordo com o executivo, as simulações de phishing aparecem como a principal ferramenta de conscientização, reconhecida por sua efetividade em expor vulnerabilidades no comportamento dos usuários. Além disso, 68,7% das empresas já monitoram indicadores detalhados, como cliques e envio de dados, para direcionar ações corretivas. 

Porém, a mensuração do impacto dessas ações ainda é um desafio: 41,5% das empresas afirmam não adotar nenhuma comunicação diferenciada para usuários reincidentes, e 42% não possuem diretrizes claras para gestão de consequências. 

“A reincidência é um dos maiores desafios. Sem acompanhamento próximo e tratamento diferenciado para casos repetidos, corremos o risco de ter campanhas que informam, mas não transformam”, destaca Sampaio. 

Ações top-down 

O levantamento também mostra que a personalização das campanhas ainda não é prática comum: 32,5% das empresas utilizam a mesma comunicação para todos os públicos internos. Já exercícios de Table Top, voltados para executivos e áreas estratégicas, ainda são pouco adotados, o levantamento aponta que 27,8% das organizações não realizam nenhum tipo de treinamento desse tipo, enquanto as que aplicam tendem a focar em áreas técnicas, como TI e Segurança da Informação. 

“Uma cultura de segurança só se consolida quando o exemplo vem de cima. É preciso que conselhos, líderes e equipes estratégicas estejam engajados e participem ativamente das ações de conscientização”, reforça o CEO da Beephish. 

Desafio de cultura 

Para Glauco Sampaio, a pesquisa revela que, embora a conscientização já esteja no radar das empresas, falta estrutura dedicada, segmentação de mensagens e políticas de responsabilização proporcionais. 

“Conscientizar não é apenas repetir campanhas, mas provocar mudanças reais de comportamento. Isso só acontece com engajamento contínuo — do presidente ao estagiário”, conclui o executivo. 

Sobre a Beephish:  

A Beephish é uma startup especializada em conscientização em segurança da informação, com foco na educação e treinamento de usuários para prevenir ataques cibernéticos, especialmente os que envolvem engenharia social. 

Fundada em 2024, a empresa desenvolveu uma plataforma SaaS intuitiva e acessível, que realiza simulações realistas de ataques de phishing e aprimora a gestão do risco humano, contribuindo para a evolução contínua da cultura de segurança nas organizações. 

Entre os clientes que já confiam na Beephish estão CPFL Energia, Hospital Sírio-Libanês e Valid.