Empresas admitem falhas na preparação dos colaboradores para ciberataques

69% das organizações que participaram num estudo da Fortinet admitem que os seus colaboradores não têm preparação suficiente para enfrentar ciberataques, evidenciando fragilidades persistentes na componente humana da cibersegurança.

A conclusão consta do relatório Security Awareness and Training Global Research Survey 2025, da Fortinet, baseado num inquérito a 1.850 decisores de IT e segurança em 29 mercados. O estudo destaca que, apesar da crescente preocupação com o risco digital, muitas empresas continuam vulneráveis devido à falta de competências internas.

Num contexto em que os cibercriminosos recorrem cada vez mais à Inteligência Artificial (IA) para sofisticar ataques, apenas 40% das organizações que participaram no estudo consideram que os colaboradores estão devidamente preparados para identificar, evitar e reportar ameaças potenciadas por IA.

A utilização crescente destas tecnologias está, no entanto, a aumentar a consciencialização. Cerca de 88% dos inquiridos afirmam que o uso de IA por agentes maliciosos reforçou a perceção da importância da formação em cibersegurança. Em paralelo, 96% das organizações já implementaram ou estão a implementar políticas para o uso de aplicações de IA generativa, embora apenas 53% estejam a formar colaboradores ou a monitorizar a partilha de informação sensível nesses contextos.

O relatório confirma que o fator humano continua a ser uma das principais superfícies de risco. A maioria das organizações reconhece um défice de preparação interna, agravado pela evolução constante das ameaças e pela crescente sofisticação dos ataques.

As ameaças externas são, aliás, o principal motor para a adoção de programas de formação, apontadas por 41% dos inquiridos. Entre os temas prioritários destacam-se a segurança de dados (51%), a privacidade (43%) e as ameaças associadas à IA (41%).

Apesar das lacunas, os dados mostram que a formação tem impacto direto na redução do risco. Cerca de 67% das organizações registaram uma diminuição moderada ou significativa de incidentes após a implementação de programas de sensibilização. Os principais indicadores de eficácia incluem a redução de incidentes (53%), o feedback dos colaboradores (52%) e auditorias de segurança (50%).

Ainda assim, persiste um desfasamento entre investimento e maturidade das equipas. Embora 95% dos decisores acreditem que o reforço da consciencialização pode reduzir ciberataques, apenas uma minoria reporta taxas elevadas de conclusão da formação, e 26% reconhecem que muitos colaboradores não seguem consistentemente as boas práticas.

Num cenário de ameaças em rápida evolução, o relatório conclui que a formação em cibersegurança deve deixar de ser encarada como um requisito pontual de conformidade. As organizações são chamadas a adotar uma abordagem contínua e orientada para a mudança de comportamentos, de forma a reforçar de forma sustentada a sua resiliência digital.