Por mais que as empresas invistam em programas de treinamento em segurança cibernética, isso não significa que estão livre de riscos. Afinal, usuários continuam compartilhando informações pessoais facilmente – geralmente, sem nem pensar duas vezes.
É isso que um estudo da UC San Diego Health, nos Estados Unidos, concluiu depois de analisar a eficácia de dois modelos de treinamento durante oito meses. Durante o período, explica o TechXplore, a equipe desenvolveu 10 campanhas de e-mail com golpes de phishing que foram enviadas para mais de 19.500 funcionários da universidade.
Treinamento não reduz riscos de golpes cibernéticos
O estudo concluiu que, mesmo após passar pelo curso, não houve diferença significativa entre quem fez o treinamento e quem não fez: ambos continuaram caindo em golpes de phishing. Também não houve diferença relevante no que as pessoas fizeram depois de clicar em um e-mail malicioso.
Nossos resultados sugerem que os programas de treinamento antiphishing, em suas formas atuais, provavelmente não oferecem valor prático significativo na redução de riscos de phishing.
Grant Ho, coautor do estudo e membro do corpo docente da Universidade de Chicago, em nota enviada à imprensa.
Para ele, o problema é que “um dos motivos pelos quais os treinamentos não são eficazes é que a maioria das pessoas não se envolve com os materiais de treinamento fornecidos”.
Por que o combate ao phishing preocupa tanto?
Segundo estudo da IBM, o phishing é a principal causa de vazamento de dados no Brasil, responsável por 18% dos casos, com um custo médio de R$ 7,18 milhões por violação. Os setores de saúde, finanças e serviços são os mais afetados no país.
Leia mais:
- ChatGPT foi usado para roubar dados confidenciais do Gmail
- Este é o crime cibernético mais comum no Brasil; saiba como se proteger
- Engenheiros teriam acesso a dados de usuários do WhatsApp, diz ex-executivo
Por isso, muitas empresas dotam o treinamento, em que os funcionários recebem e-mails simulando ataques. O objetivo é ensinar como reconhecer e reagir a essas tentativas de fraude. O estudo da universidade, porém, mostrou que esses métodos não têm o efeito esperado.
Quais as falhas do treinamento em segurança cibernética?
Os pesquisadores observaram que a maioria dos funcionários não se envolveu de forma significativa com os materiais oferecidos. Segundo Ariana Mirian, coautora do estudo, isso mostra que, do jeito que são montados, os treinamentos não funcionam bem.
Problemas identificados nos treinamentos
- 75% dos usuários passaram menos de um minuto no material de treinamento.
- Um terço fechou a página imediatamente, sem ler o conteúdo.
- Falta de engajamento com os materiais disponibilizados.
- Métodos atuais não despertam atenção nem mudam o comportamento.
Depois de oito meses, a probabilidade de clicar em um link malicioso caiu apenas 2%, um resultado considerado insignificante diante do tempo e esforço gastos. Além disso, o número de funcionários que clicaram nesses links aumentou de 10% no primeiro mês para mais de 50% no oitavo.
Diante disso, os pesquisadores recomendam que as empresas invistam mais em tecnologia de proteção, como autenticação de dois fatores e gerenciadores de senhas, em vez de depender de treinamento.