O número de vítimas de ataques cibernéticos aumentou em 70% nas empresas de varejo no último ano, segundo pesquisa do Centro de Pesquisa Econômica e de Negócios (Cebr), de maneira que cada ataque envolvendo violação de dados pode chegar a um custo médio total estimado em US$ 4,88 milhões, conforme o Relatório do Custo das Violações de Dados de 2024, publicado pela IBM e o Instituto Ponemon.
O mais curioso disso tudo é que existe um fator central para o sucesso desses ataques: o fator humano. O Relatório Global de Ameaças 2024, publicado pela Crowdstrike, aponta que um dos temas principais quando o assunto é ataque cibernético é a engenharia social. E isso gera o seguinte questionamento: como otimizar o seu programa corporativo de conscientização de segurança e diminuir as portas de entrada do cibercrime?
Novo cenário, mesmo problema
Não é novidade para ninguém a crescente digitalização das atividades do dia a dia – desde as mais simples, como chamar um táxi ou comprar uma passagem para o metrô, até as mais complexas, como investir no mercado de ações ou poupar para comprar um apartamento. E essa crescente digitalização trouxe consigo um novo cenário a ser explorado pelos criminosos: o virtual.
O que se nota, porém, é que apenas mudou o cenário, mas o problema continua sendo o mesmo: as pessoas têm a sua confiança, vulnerabilidade ou até mesmo curiosidade exploradas por indivíduos mal intencionados e em busca de dinheiro ou informação valiosa.
Como as empresas podem se proteger das armadilhas sociais?
Investir em cultura é essencial para prevenir riscos cibernéticos, já que colaboradores sem treinamento adequado podem cair em armadilhas de phishing ou compartilhar informações confidenciais inadvertidamente, facilitando até mesmo a criação de armadilhas plantadas pelos hackers para atingir seus clientes.
Nesse sentido, a capacitação dos funcionários é vital para que eles possam reconhecer ameaças e agir de maneira preventiva. Isso porque a conscientização não apenas fortalece a linha de defesa humana, mas também cria uma cultura organizacional focada em segurança, essencial para evitar que vulnerabilidades sejam exploradas.
E com o aumento do trabalho remoto e híbrido, impulsionado pela pandemia de Covid-19, os programas de conscientização precisaram se adaptar a um novo normal, já que o trabalho remoto ampliou as superfícies de ataque com o acesso das redes corporativas utilizando dispositivos pessoais ou redes Wi-Fi não seguras. Esse novo ambiente exige uma atenção redobrada e treinamentos específicos para lidar com os desafios de segurança fora do ambiente corporativo controlado.
Nesse contexto, se faz necessário apontar que um programa de conscientização de segurança da informação eficaz é composto por três elementos centrais:
1. Treinamento contínuo e sempre atualizado,
2. Campanhas de conscientização regulares e
3. Simulações de ataques.
É importante que essas iniciativas não sejam eventos pontuais, mas sim parte de um ciclo contínuo de aprendizado, já que as ameaças estão em constante evolução. Outro fator relevante é que desde a alta liderança até os colaboradores operacionais devem estar engajados na defesa contra ameaças cibernéticas para um programa de conscientização de sucesso, mas como garantir isso em um mundo repleto de distrações e um cenário corporativo focado em produtividade?
Adote inovação nos programas de conscientização
Para aumentar a eficácia e a aderência dos colaboradores ao programa de conscientização de segurança, é muito importante investir em constante atualização no formato dos conteúdos oferecidos, sempre conciliando com os orçamentos e benefícios envolvidos.
Aumente interação com gamificação
O uso de gamificação merece destaque entre as tendências de inovação no mercado de conscientização corporativa. Nessa abordagem, elementos de jogos, como desafios e recompensas, para engajar os funcionários de forma mais interativa e dinâmica são adotados, transformando o treinamento em uma experiência mais atraente.
A gamificação pode aumentar significativamente a retenção de conhecimento e melhorar o desempenho em situações reais. Um estudo da TalentLMS revelou que 83% dos funcionários que participaram de treinamentos gamificados se sentiram mais motivados em relação às suas responsabilidades de segurança, mostrando a eficácia dessa abordagem.
Personalize para aumentar engajamento
Outra tendência importante é a personalização dos treinamentos, já que não faz sentido aplicar o mesmo conteúdo para todos os funcionários, já que diferentes departamentos e cargos enfrentam diferentes riscos.
Por exemplo, a equipe de TI precisa de um treinamento mais técnico, enquanto o setor de vendas deve ser instruído sobre como lidar com segurança no uso de plataformas de CRM e na comunicação com clientes. A personalização garante que cada funcionário receba informações relevantes para seu contexto, aumentando a eficácia do programa de conscientização.
Use inteligência artificial para otimizar o programa
A aplicação de inteligência artificial (IA) e machine learning também está moldando o futuro da conscientização em segurança da informação. Essas tecnologias permitem criar treinamentos mais dinâmicos, adaptando o conteúdo com base no comportamento do usuário e prevendo vulnerabilidades específicas.
A IA pode ser utilizada para monitorar o comportamento dos funcionários e identificar potenciais riscos, permitindo uma abordagem proativa. Em conjunto com o machine learning, é possível criar modelos de treinamento que evoluem à medida que novas ameaças surgem, mantendo o conteúdo sempre atualizado.
Quebre o conteúdo em pedaços pequenos
O microlearning é outra tendência que vem ganhando espaço, oferecendo soluções curtas e diretas para manter o treinamento contínuo e eficaz. Em vez de longas sessões de treinamento, o microlearning oferece conteúdos curtos e de fácil consumo, que podem ser acessados a qualquer momento.
Essa abordagem se mostra especialmente eficaz para temas complexos, como a segurança da informação, em que a repetição frequente e a prática contínua são essenciais para o aprendizado. Segundo a Association for Talent Development, treinamentos realizados em pequenas doses aumentam a retenção em até 50%.
Mensure os impactos e crie inteligência
Para garantir o sucesso de qualquer programa de conscientização em segurança da informação, é fundamental medir seu impacto. Indicadores-chave de performance (KPIs) devem ser utilizados para avaliar a eficácia das iniciativas.
Métricas como a taxa de sucesso em simulações de phishing, o tempo de resposta a incidentes e a análise de mudanças comportamentais dos funcionários são exemplos práticos. Um relatório de 2023 da Cofense apontou que empresas que utilizam essas métricas conseguem reduzir em até 40% os incidentes de segurança relacionados a erros humanos.
Independentemente do formato e da tática adotada, observa-se que os programas de conscientização em segurança da informação estão evoluindo para acompanhar as mudanças no cenário de ameaças cibernéticas e as exigências de um mercado cada vez mais digital.
Com tendências como gamificação, personalização de treinamentos, uso de IA e microlearning, as empresas têm à disposição ferramentas poderosas para engajar seus colaboradores e criar uma cultura robusta de segurança. À medida que as ameaças se tornam mais sofisticadas, é essencial que os programas de conscientização também evoluam, mantendo-se dinâmicos e proativos.
*Este artigo foi escrito em colaboração com Wesley Marinho, especialista em segurança da informação, com mais de 10 anos de experiência, focado na proteção de negócios digitais por meio da metodologia Security by Design. Atualmente, atua como Security Business Advisor no Nubank, participa ativamente de eventos ministrando palestras e contribuindo para a conscientização pública sobre cibersegurança por meio de dezenas de entrevistas para os mais diversos veículos de imprensa.