Como criar treinamentos de segurança motivadores para funcionários?

Sendo vice-diretor de Segurança de Informações, muitas vezes cabe a mim criar novas e divertidas maneiras de envolver nossos funcionários com o tipo de treinamento obrigatório e aprofundado de segurança em uma grande empresa de proteção cibernética.

Embora os colaboradores sejam cruciais para a segurança, muitas empresas involuntariamente criam funcionários desengajados, exigindo que eles testem seus conhecimentos de segurança preenchendo questionários chatos de múltipla escolha, como os vistos nos formulários de “Novo Paciente” em consultórios médicos.

Antes do Mês da Conscientização Nacional sobre Segurança Cibernética, no ano passado, fiquei pensando em como tentar algo diferente. Há uma infinidade de artigos e blogs por aí sobre as falhas do tradicional treinamento baseado na Web para os funcionários, então eu queria abordar isso de uma forma diferente dessa vez.

Buscando ideias, comecei a prestar mais atenção às pessoas que considero grandes pensadores desse assunto – Chad Loder, Masha Sedova e Drew Rose – que defendiam atividades lúdicas, salas de descanso, simulações e vídeos engraçados. Tudo isso me motivou a abordar o desafio de conscientização e o treinamento em segurança em uma perspectiva mais atraente.

Naquela época, eu fiz uma piada em um canal interno sobre como escrever um haicai original de segurança todos os dias daquele mês. Mais tarde, revisitei a ideia publicamente no LinkedIn, quando um colega perguntou o que as pessoas estavam fazendo para o Mês de Segurança Cibernética. Essa piada simples ficou comigo e eu pensei… por que não?

Então, todos os domingos, eu passei algum tempo tomando café e criando um e-mail para ser enviado a toda a empresa na manhã de segunda-feira. Antecipando a resistência, enviei um e-mail de aviso e prometi usar o mesmo cabeçalho de assunto, para o caso de que aqueles que não desejassem recebê-los, pudessem aplicar regras de e-mail de maneira apropriada.

Mas, depois da primeira semana, algo surpreendente aconteceu: nossos funcionários começaram a responder a meus haicais recebidos por e-mail, enviando-me seus próprios haicais. Para meu encanto, comecei a ter ideias originais sobre phishing, tailgating, redação de código incorreto, conformidade com os padrões OWASP, riscos de viagem etc.

O aspecto mais interessante dessas demonstrações é que os funcionários começaram a responder com tópicos não comumente abordados em treinamentos-padrão de segurança, pensando proativamente em questões ou em temas que consideravam importantes no dia a dia dos colaboradores de uma empresa de segurança.

Colocando a criatividade de volta na segurança cibernética

Quando a poeira baixou, descobri que tínhamos várias dúzias de novos haicais, que eu obedientemente adicionei a um fundo divertido, inseri o nome do autor de cada haicai e enviei internamente pelo resto do mês. Foi só depois do fim do Mês de Segurança Cibernética que percebi o que isso realmente significava.

Alguns podem dizer que eu estou sendo otimista demais na minha avaliação – e eu assumo esse risco – mas, para argumentar, eu analisei alguns números. No Mês de Segurança Cibernética, distribuímos 23 haicais internamente. Se considerarmos que as pessoas levaram três minutos para ler e refletir sobre cada um deles diariamente, isso significa uma hora de treinamento durante o período de um mês, abrangendo vários tópicos relacionados a segurança. Alguns haicais eram simples e fáceis de digerir, mas alguns apresentados pelo pessoal de pesquisa, mais experiente, foram extremamente inteligentes e provavelmente resultaram em mais tempo de reflexão.

Além da simples assimilação da mensagem, algumas pessoas ficaram tão inspiradas que colocaram a caixola para funcionar e começaram a criar seus próprios poemas – o que significa que estavam pensando ativamente e/ou pesquisando os tópicos e tentando vê-los sob uma nova e criativa perspectiva. Outras pessoas me perguntaram se poderiam compartilhar meus e-mails com amigos, familiares e colegas, o que significa que estavam agindo como defensores da segurança da empresa (mesmo que apenas pelo tempo necessário para encaminhar uma mensagem e digitar uma introdução).

Com relação ao esforço gasto, cada e-mail com haicai me levou cerca de 30 minutos de criação – levando em conta encontrar um bom fundo, distribui-lo e responder às respostas dos funcionários para cada um. No decorrer do mês, isso significa que eu dediquei cerca de 12 horas a essa atividade (em outras palavras, um dia médio de trabalho em segurança cibernética). Em troca, posso estimar que tivemos cerca de 400 a 800 horas de resposta dos colaboradores.

Encontrando novas abordagens para o treinamento de segurança

Esse tipo de abordagem pode substituir o treinamento de segurança obrigatório? Não, claro que não! Ainda precisamos que o conteúdo e essa atividade atendam às políticas e auditorias necessárias dos dias de hoje. Mas essa nova abordagem em treinamento de segurança pode ser considerada um sucesso? Eu gosto de pensar que sim, se colocou o foco das pessoas nos pontos necessários, se promoveu conversas sobre os haicais e se as pessoas ativamente criaram e trocaram suas próprias ideias.

Então, no final das contas, uma piada levou a um desafio, que levou a um exercício coletivo de conscientização. No próximo ano, acho que vamos usar um tema como Dog Shaming para treinamento de conscientização de segurança.

*Steve Mancini é vice-diretor de Segurança de Informações na BlackBerry Cylance, onde ele e sua equipe se concentram em gerenciamento de riscos, estratégia de segurança, segurança operacional e resposta a incidentes para a empresa