A pesquisa envolveu quase 20 mil funcionários da UC San Diego Health, um grande sistema de saúde da Califórnia, e 10 ataques simulados de phishing realizados contra esses funcionários ao longo de oito meses, entre janeiro e outubro de 2023. A UC San Diego Health utiliza os mesmos programas de treinamento em cibersegurança adotados por muitas organizações no país.
Para medir a eficácia do treinamento anual, os autores procuraram identificar se havia relação entre as taxas de falha e o tempo decorrido desde que o funcionário havia feito o treinamento.
Estudos anteriores mostram que o conhecimento de segurança das pessoas melhora após o treinamento, mas se dissipa após alguns meses. Diante disso, os pesquisadores supuseram que o desempenho dos participantes nos ataques simulados seguiria o mesmo padrão: eles deveriam estar mais propensos a cair nos golpes à medida que passasse mais tempo desde o treinamento. Mas, na prática, descobriram que a taxa de falha permaneceu praticamente a mesma, independentemente de quanto tempo havia se passado.
“Isso sugere que o treinamento obrigatório de conscientização cibernética não forneceu conhecimento de segurança benéfico aos usuários”, diz Grant Ho, professor assistente na Universidade de Chicago e coautor do estudo. O treinamento pode ser ineficaz por muitos motivos, acrescenta. O “conteúdo pode simplesmente ser ruim ou algo que todos os usuários já sabem; pode ser que a forma de comunicar ou tentar ensinar o material seja ineficaz; ou pode ser que o formato online obrigatório seja algo do qual os usuários, por natureza, não aprendem”.
Treinamentos diferentes
Para avaliar a eficácia de diferentes métodos de treinamento em cibersegurança, os autores dividiram os funcionários em quatro grupos. Após cada ataque, cada grupo recebeu um método distinto: um recebeu dicas genéricas sobre como evitar phishing; um segundo participou de um Q&A interativo sobre cibersegurança; um terceiro foi informado sobre os métodos específicos usados no ataque mais recente; e o quarto recebeu um Q&A interativo que também incluía detalhes do ataque mais recente. Um quinto grupo também foi criado, e os funcionários desse grupo não receberam treinamento algum.
Os autores constataram que, em média, os funcionários que receberam qualquer tipo de treinamento tiveram apenas 1,7% de redução na taxa de falhas em comparação aos que não receberam treinamento.
Uma das razões pelas quais o treinamento teve tão pouco efeito, segundo os autores, é que a maioria dos funcionários não se envolveu com o material apresentado. Quando direcionados a uma página de treinamento, muitas vezes a ignoravam. Em mais de 75% das sessões, os funcionários passaram menos de um minuto na página. E muitos fecharam a página imediatamente — isso ocorreu entre 37% e 51% das vezes nos quatro tipos de treinamento.
“Muitas vezes, quando os funcionários clicam em um módulo de treinamento, uma possível razão para saírem imediatamente é que estavam checando e-mails ou navegando na web com outro propósito”, diz Ho.
Q&A interativo
Treinamentos que incluíam um Q&A interativo tiveram mais efeito do que os demais, mas apenas quando o funcionário concluía o módulo — o que quase nunca acontecia. Os funcionários que concluíram o Q&A interativo foram 19% menos propensos a falhar em simulações de phishing futuras, em comparação com usuários que receberam o treinamento interativo, mas não concluíram nenhuma sessão. Porém, os autores levantam a hipótese de que possa haver uma diferença de perfil subjacente entre os funcionários que optaram por concluir integralmente o treinamento e os que não o fizeram.
A lição para as organizações, afirma Ho, é recorrer a medidas além do treinamento, como softwares de detecção de phishing que eliminem automaticamente a necessidade de o funcionário identificar ataques.
“O treinamento tal como é comumente aplicado”, diz Ho, “não oferece proteção suficiente contra phishing por si só”.
Traduzido do inglês por InvestNews
Presented by
