O Programa de Sensibilização está morto.

A formação de sensibilização reduz o risco, mas apenas quando é concebida para pessoas reais, incentivos reais e contexto do mundo real. Eis por que a maioria dos programas falha; e o que realmente funciona.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy4 min de leitura
Awareness Program is dead

Todas as organizações afirmam preocupar-se com a "sensibilização para a segurança". Todas as listas de verificação de conformidade exigem-na. Todos os planos de integração incluem-na.

Mas basta percorrer qualquer escritório, físico ou virtual, para encontrar colaboradores que continuam a:

  • clicar em ligações de phishing,
  • ignorar avisos,
  • utilizar dispositivos pessoais para trabalho,
  • contornar processos porque os atrasam,
  • e agir fora dos limites mesmo depois de lhes ter mostrado exactamente o que acontece.

A formação diz-lhes o que fazer. Mas raramente muda o seu comportamento.

A maioria dos programas de sensibilização falha pelas mesmas razões que os sinais de segurança falham nos parques nacionais: As pessoas conhecem as regras. As pessoas vêem os avisos. As pessoas compreendem as consequências.

E as pessoas continuam a cair nas fumarolas.

A sensibilização não é o problema.Os incentivos, o design e a cultura organizacional são.

Vamos analisar por que razão a sensibilização falha frequentemente o alvo e como corrigi-la.

1. Dizer às Pessoas as Regras Não é o Mesmo que Mudar o seu Comportamento

A maioria da formação centra-se em instruções:

  • Não clique em e-mails suspeitos.
  • Não utilize pen drives USB.
  • Não reutilize palavras-passe.
  • Reporte incidentes imediatamente.

Mas muito pouca formação explica:

  • por que razão a regra existe,
  • o que corre mal quando é ignorada,
  • como os atacantes exploram efectivamente o comportamento,
  • e como são as consequências pessoais.

As pessoas aprendem através da relevância, da emoção e da narrativa; não através de políticas.

Uma história sobre uma empresa comprometida resulta. Um ponto de lista sobre "phishing" não resulta.

2. A Formação Envolvente Funciona; A Formação Aborrecida Não Funciona

Vídeos longos? Não funcionam. PowerPoints áridos? Ninguém os retém. Sessões anuais de marcar a caixa? Esqueça.

A sensibilização moderna tem de ser:

  • curta,
  • interactiva,
  • baseada em cenários,
  • contextualizada,
  • prática,
  • por vezes divertida.

A gamificação não é um truque; é um princípio da ciência da aprendizagem. Quando a formação é envolvente, as pessoas interiorizam-na. Quando não é, clicam em "seguinte" até acabar.

3. As Pessoas Não Reportam Incidentes Porque Reportar É Difícil

Os colaboradores não evitam reportar porque não se preocupam. Evitam porque o processo é penoso.

Se reportar um e-mail suspeito exige:

  • múltiplos passos,
  • anexos manuais,
  • criação de tickets,
  • instruções extensas…

…as pessoas simplesmente não o farão.

A regra é simples:Se reportar exige mais do que uma acção, há demasiado atrito.

Torne-o simples; um botão, um atalho, um endereço de reencaminhamento; e o número de reportes dispara.

4. A Sensibilização Falha Sem Incentivos Reais

As pessoas não seguem as regras porque as ameaça. Seguem-nas porque a organização recompensa o comportamento que pretende.

É por isso que os anúncios contra o tabagismo não funcionam, mas as proibições de fumar funcionam.

A sensibilização torna-se significativa quando a liderança a associa a:

  • objectivos de desempenho,
  • reconhecimento,
  • expectativas operacionais,
  • KPIs de gestão,
  • métricas de equipa.

A cultura constrói-se através do reforço; não de lembretes.

5. A Sensibilização Não Substitui os Controlos

Alguns CISOs argumentam que a formação é inútil porque os seres humanos cometerão sempre erros.

Têm parcialmente razão; mas esquecem convenientemente que a tecnologia também falha.

O MFA falha. Os filtros falham. Os patches falham. Existem zero-days. As más configurações acontecem. Os atacantes contornam ferramentas todos os dias.

Quando a tecnologia falha, quer ter um ser humano informado que consiga:

  • reconhecer a ameaça,
  • interromper a interacção,
  • e reportá-la imediatamente.

Os seres humanos não são o elo mais fraco. São a última linha de defesa; se os treinar bem.

6. A Sensibilização Tem de Evoluir com as Ameaças

Um programa de formação que:

  • utiliza exemplos desactualizados,
  • ensina padrões de ataque de 2017,
  • ignora o phishing assistido por IA,
  • não abrange deepfakes,
  • ou nunca se adapta…

…é inútil.

Os atacantes evoluem semanalmente. A sua formação tem de evoluir trimestralmente.

Conteúdo estático = pensamento estático.

7. A Sensibilização Funciona; Mas Apenas como Parte de uma Defesa em Camadas

A formação por si só não consegue prevenir incidentes. Mas sem formação, os seus controlos técnicos ficam cegos.

A fórmula é simples:Pessoas + Processo + Tecnologia = Resiliência.

Retire uma camada e o sistema colapsa.

Um colaborador bem formado supera sempre uma ferramenta mal configurada. Uma ferramenta bem configurada supera sempre um colaborador sem formação. Precisa de ambos.

Reflexão Final

A sensibilização não é uma caixa para marcar. Não é um item de conformidade. Não é uma biblioteca de vídeos.

A sensibilização é um movimento cultural assente em:

  • formação envolvente,
  • reporte fácil,
  • incentivos reais,
  • actualizações frequentes,
  • e adesão visível da liderança.

A segurança não consiste em forçar as pessoas a preocupar-se. Consiste em capacitá-las para se protegerem a si próprias, às suas equipas e à organização.

Quando as pessoas compreendem o que está em jogo e se sentem capazes de agir, deixam de ser o elo mais fraco e tornam-se o sensor humano mais fiável do sistema.

Se pretende construir um programa de sensibilização para a segurança que mude efectivamente o comportamento, e não apenas satisfaça a conformidade, é exactamente isso que ensinamos nos Programas Cybersecurity Manager da Cyber Academy. Junte-se à próxima sessão e transforme as suas pessoas na camada de defesa mais fiável.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.