Home  >  Segurança

Cibersegurança: 5 erros sobre que geram desperdício de dinheiro

Eliminar o fator humano é chave nesse contexto. Confira as dicas do especialista

Da Redação

11/03/2019 às 18h20

Foto: Shutterstock

É de conhecimento geral que os funcionários são considerados um dos ativos mais importantes em uma empresa – e a porta de entrada para cibercriminosos. Tanto que mais da metade das organizações considera-os o elo mais fraco da cibersegurança corporativa, pois suas ações podem colocar os dados e sistemas da empresa em risco.

Para mitigar esta situação, as empresas têm investido em treinamentos para que seus colaboradores saibam reconhecer e se defender de ciberataques. Os especialistas em segurança preveem que o mercado de treinamento de conscientização em segurança chegará a valer US$ 10 bilhões até 2027.

Apesar disso, tem quem continue cético em relação ao treinamento de cibersegurança de suas equipes. Alguns acreditam que as pessoas, cientes ou não das possíveis ameaças, sempre cometerão erros e seria um desperdício de dinheiro investir em cursos que não produzem os resultados desejados. Será mesmo? Surpreendentemente, o verdadeiro objetivo do treinamento de conscientização em segurança não é só levar informação sobre ameaças e medidas de segurança, é necessário mudar o comportamento online dos profissionais.

Com base nos mais de 20 anos pesquisando ciberameaças e fornecendo serviços de cibersegurança para eliminar o ‘fator humano’ como porta de entrada para ataques, percebemos que existem cinco erros educacionais que tornam os treinamentos em cibersegurança ineficazes, são eles:

1. Formato ineficiente

O aprendizado e o desenvolvimento corporativo podem ser apresentados em formatos diferentes: uma aula dada por um membro da empresa, uma apresentação de um palestrante externo ou um curso de computador. O formato adequado para uma empresa não necessariamente funcionará para outra, então as empresas devem escolher aquele modelo que mais faça sentido para seu modelo de negócio.

Com base em nossa experiência, uma palestra tradicional não é adequada para um treinamento que visa melhorar as habilidades práticas de cibersegurança dos funcionários. Com o formato online, é possível combinar diferentes conteúdos (vídeo, texto, testes) e incluir uma experiência de jogos pode transformar o que tinha tudo para ser uma obrigação chata em algo divertido.

Essa interatividade torna o curso de cibersegurança mais atraente e envolvente para os funcionários. Além disso, um curso online permite que os profissionais avancem em seu próprio ritmo e invistam mais tempo em tópicos especialmente complicados – o que é quase impossível quando os funcionários assistem a aulas comuns.

2. A mesma qualificação para todos os cargos

Acredita-se que a responsabilidade sobre a cibersegurança da empresa é trabalho de todos, pois as ações de cada pessoa podem afetá-la. E as empresas tendem a fazer os treinamentos de conscientização em segurança com o objetivo de transformar os funcionários em profissionais de cibersegurança e os tornam obrigatórios para todos, a fim de garantir a máxima tranquilidade.

Contudo, o programa de treinamento mais indicado para determinado funcionário depende dos sistemas e informações aos quais ele tem acesso. Ensinar coisas com as quais os funcionários nunca lidam em seu dia a dia (especialmente no trabalho) não compensa o custo. Um exemplo simples: para evitar ataques em massa, todos devem saber como identificar sites fraudulentos, que pedem para atualizar um software. Já as pessoas com acesso a informações sigilosas e sistemas críticos para o negócio devem fazer um curso avançado e serem capazes até de reconhecer mensagens suspeitas.

3. Sobrecarga de informações

Muitos treinamentos de conscientização em segurança foram elaborados para cobrir todos os tópicos importantes de uma vez. Porém, raramente esse tipo de formato favorece a mudança de comportamento, pois é pouco provável que todas as informações sejam absorvidas. Acredita-se que o ser humano consiga lembrar-se apenas de um limite de até sete blocos de informações novas. Talvez você já tenha percebido em sua própria experiência que é difícil interpretar muitos fatos e regras de uma vez.

Marcos Pontes

É mais fácil lembrar de um conteúdo quando ele é fornecido em módulos pequenos, pois é menos provável que eles se misturem em uma só informação ou desapareçam. Já uma aula curta (que não gasta muito do precioso tempo de trabalho) dedicada a um único tópico pode oferecer um número razoável de conclusões para que as pessoas consigam se lembrar como elas devem reagir em uma determinada ameaça.

4. Falta de prática e repetição

Às vezes, o conteúdo do treinamento é bom, mas não é memorizado como deveria pela simples falta de repetição. No entanto, esse é um ponto fundamental para transformar a conscientização em ações. Os treinamentos de segurança frequentemente contam com públicos pouco inspirados, que podem ouvir as instruções, mas estão pouco motivados a aprendê-las e memorizá-las.

Assim, as empresas devem implementar cursos que tornam os tópicos fáceis de serem lembradas, enfatizando os aspectos mais cruciais várias vezes. Por exemplo, para destacar a importância das senhas fortes, esse tópico deve ser reforçado e mencionado constantemente durante o curso: em aulas sobre proteção de informações sigilosas, mídias sociais, e-mail etc.

5. Falta de relevância para a vida

A maneira de resolver o problema da falta de consciência dos funcionários pode parecer óbvia: maior conscientização e acesso de todos às regras gerais e políticas de cibersegurança. Infelizmente, essa estratégia dificilmente funciona quando a meta é melhorar o comportamento das pessoas.

A maioria dos profissionais simplesmente não tem conhecimentos de segurança, nem mesmo de TI em geral. Eles podem não entender o que devem fazer, se simplesmente for recomendado que mantenham seus aplicativos atualizados e sejam cuidadosos ao abrir anexos suspeitos. Para superar essa barreira de comunicação, o conteúdo educativo deve ser colocado em prática pela simulação de possíveis situações que o funcionário pode vivenciar, como trabalhar com e-mails ou navegar pela internet em busca de um site para baixar suas séries favoritas.

Para ter sucesso, precisamos que o treinamento de cibersegurança seja realizado de maneira que, além de abranger todos os tópicos essenciais, facilite o entendimento e a memorização. Por exemplo, um de nossos clientes, o Donau Chemie Group, especializado na produção de diversos materiais químicos, utilizou um treinamento offline tradicional sobre cibersegurança para seus funcionários.

No entanto, eles não conseguiram motivar os funcionários não relacionados à TI para mudar seu comportamento de segurança. Todavia, o problema não era funcionários irresponsáveis. Quando a empresa implementou o treinamento que havíamos recomendado, que consiste em educação interativa e simulações, a situação mudou completamente. Por exemplo, o número de cliques em links em simulações de ataques de phishing (que estão entre os três principais tipos de ataque[5] que causam perdas de dados) caiu para menos de 2%.

O que temos que ter em mente é que, quando os funcionários são forçados a passar muitas horas em sessões de treinamento demoradas sobre um tópico que não faz parte de suas responsabilidades profissionais, é difícil garantir que eles sigam as recomendações apresentadas. No entanto, se o treinamento não levar muito tempo e for de fácil entendimento – principalmente com situações reais –, as chances de que resulte em menos erros e em uma segurança geral mais eficiente serão maiores.

*Maxim Frolov é vice-presidente de vendas globais da Kaspersky Lab