Neil Thacker (*)
Os programas de treinamento em segurança cibernética e compliance se tornaram um grande negócio.
De acordo com a Cybersecurity Ventures, este mercado de treinamento atingiu US$ 5,6 bilhões em 2023 e deve ultrapassar US$ 10 bilhões nos próximos quatro anos. Esse boom não é uma surpresa: as ameaças cibernéticas estão desenfreadas e os ataques em grande escala estão frequentemente na mídia. Isso prova que todas as empresas, independentemente do porte, correm o risco de sofrer uma violação.
As técnicas mais populares em 2023 foram as de engenharia social, em que um invasor tem como alvo as pessoas com acesso aos sistemas (e não os próprios sistemas) e as manipula para que entreguem o controle. Portanto, as empresas têm razão em reconhecer que as pessoas são uma vulnerabilidade importante.
O treinamento anual de conscientização sobre segurança cibernética é um recurso rotineiro no calendário da maioria das empresas, em uma tentativa de garantir que as pessoas de todos os departamentos desenvolvam conscientização cibernética e sejam capazes de identificar ameaças e reagir adequadamente antes que elas se tornem um problema grave. O problema é que, com a rápida evolução das ameaças à segurança, esse treinamento geralmente está desatualizado e pode levar meses ou até anos para que essa prática de fato consiga ajudar as pessoas a reconhecerem as táticas dos invasores.
Treinamentos com mais frequência é uma solução?
Quando questionado sobre esses treinamentos anuais, qualquer líder de segurança afirmará que as equipes os consideram demorados e pouco estimulantes. Muitas vezes visto como uma distração, muitos clicam, leem rapidamente, assistem vídeos em velocidade acelerada e buscam qualquer atalho possível para obter o certificado de conclusão, marcar a tarefa como concluída e seguir com o trabalho.
Além disso, a interatividade muitas vezes limitada de cada curso não consegue capturar e manter a atenção das pessoas. As taxas de retenção despencam sem o envolvimento ativo, e muitos conteúdos falham nesta etapa, sem conectar o funcionário a cenários do mundo real que poderiam ocorrer em sua função na empresa.
Mesmo para quem tem boas considerações sobre os treinamentos, ainda há poucas evidências de que isso realmente educa os indivíduos ou traz mudanças positivas de comportamento. Então, acaba servindo mais como uma questão de conformidade, em vez de uma medida proativa para criar uma cultura de vigilância e defesa contra ameaças. Em última análise, não é um uso eficiente do tempo e dos recursos, e os ataques cibernéticos continuam em ritmo constante.
Vale a pena observar também que os agentes mal-intencionados criam suas campanhas especificamente de forma que até mesmo o funcionário mais bem treinado esqueça sua lógica geral de segurança cibernética. Isso inclui apelo em questões emocionais, em vez de lógicas, e aproveitamento de senso de urgência para orientar especificamente a vítima a sair de sua abordagem lógica e treinada.
Então, como podemos ir além da educação? As empresas em todos os lugares precisam de intervenções comportamentais que ajudem a orientar as pessoas para o pensamento lógico antes de assumirem grandes riscos cibernéticos.
Incentivar a limpeza cibernética
Uma intervenção pequena, regular e centrada no ser humano é o caminho ideal para mudanças comportamentais eficazes e de longo prazo. Um exemplo disso é a Teoria do Nudge, um conjunto geral de princípios destinados a orientar o comportamento humano em um caminho mais desejável. Trata-se de um conceito bem estabelecido que trouxe sucesso no passado, direcionando as pessoas para escolhas alimentares mais saudáveis e comportamentos favoráveis ao meio ambiente, e que requer apenas pequenas mudanças na tomada de decisões em momentos cruciais, quando o indivíduo está adotando comportamentos – geralmente automáticos. Aplicar isso ao mundo da segurança cibernética, portanto, parece uma tarefa fácil.
Da mesma forma que os sinais do radar nas ruas mostram sua velocidade atual, dando-lhe um segundo para pensar e adaptar seu comportamento, devemos ter sinais no trabalho que nos avisem quando estivermos prestes a participar de um comportamento cibernético arriscado e nos incentivem a diminuir a velocidade e pensar antes de agir.
Essa rota de prevenção centrada no ser humano pode ser altamente eficaz e é uma ferramenta que deveria ser conhecida de forma mais ampla e acessível para as empresas. O treinamento de usuários em tempo real, por exemplo, aproveita a detecção de IA para sinalizar instantaneamente um comportamento de alto risco para o indivíduo no momento em que ele ocorre, e propor ações alternativas para o usuário.
Isso é muito importante na era da IA generativa, em que ferramentas de IA de terceiros estão disponíveis gratuitamente em muitas empresas, e plataformas como ChatGPT e Google Bard são vistas como o assistente ideal para agilizar diversas tarefas administrativas. O risco aqui é que muitos funcionários estão fazendo upload de dados confidenciais para essas plataformas (desde o código-fonte até informações de identificação pessoal) e aumentando significativamente o risco de perda de dados.
Na maioria dos casos, os funcionários que acessam esses serviços não estão cientes do risco e estão tentando ser produtivos com ferramentas com as quais estão familiarizados ou que encontraram por acaso. Em vez de bloquear totalmente essa atividade, a ideia do “treinamento no momento certo” é uma oportunidade de explicar o risco no momento em que ele surge – elaborado para se adequar à cultura e ao tom de comunicação da empresa, bem como à política – e recomendar maneiras mais seguras de alcançar o mesmo resultado.
Essa forma de educação e reforço contínuos pode proporcionar às equipes o que falta ao treinamento anual: a oportunidade de contextualizar as informações e evitar que elas se apaguem rapidamente na memória. Além disso, essa aplicação prática de lembretes consistentes no cotidiano de trabalho é o ingrediente essencial para entender o risco e melhorar a limpeza cibernética.
Em vez de considerar os seres humanos como um elo fraco em nossa postura de segurança, devemos abordá-los como nossa última linha de defesa entre uma empresa e o cenário de ameaças cibernéticas. É importante reconhecermos isso e treinarmos as pessoas da maneira mais eficaz e capacitadora possível.
(*) CISO da Netskope para a região EMEA.