Subvalorizado e ineficaz: por que os programas de treinamento de segurança ainda são insuficientes

Pesquisa revela uma desconexão gritante entre a necessidade de treinamento de segurança e seu valor percebido

Author Photo
9:44 am - 24 de fevereiro de 2021

Para Bruce Beam, como ex-oficial da Marinha dos EUA, o treinamento em segurança corporativa se beneficiaria com a adoção da noção militar de que você luta como treina.

Em outras palavras, diz ele, todos os funcionários precisam ser treinados para combater a variedade de ataques que provavelmente enfrentarão; todos os trabalhadores devem ter prática em como identificar e responder a essas ameaças. Dessa forma, quando eles estão cara a cara com a coisa real, eles podem lutar da mesma forma que aprenderam a fazer.

“Temos que impressioná-los como é realmente importante estar preparado”, diz Beam, CIO do (ISC)², uma organização sem fins lucrativos especializada em treinamento e certificação para profissionais de segurança cibernética.

Uma resposta preparada às ameaças é o objetivo dos programas de treinamento de segurança, mas os dados dizem que as organizações estão aquém quando se trata de preparar seus funcionários para a batalha.

A pesquisa de Prioridades de Segurança de 2020 do CSO mostra que 36% dos incidentes de segurança resultam de erros de usuários não maliciosos, como vítimas de um golpe de phishing ou violação inadvertida da política de segurança, enquanto 27% dos entrevistados afirmam que sua organização oferece treinamento de segurança inadequado para os usuários.

No entanto, quase um terço – cerca de 29% dos entrevistados – dizem que os programas de treinamento e conscientização de segurança afastam suas equipes de segurança de tarefas mais estratégicas, uma indicação de que um bom número de organizações não classifica esse tipo de preparação como parte de sua estratégia geral de segurança cibernética.

Essa desconexão entre a necessidade de treinamento e seu valor percebido surge em um momento particularmente problemático.

Muitos funcionários ainda estão trabalhando em casa devido à pandemia, e muitos empregadores ainda estão implementando as medidas de segurança mais fortes necessárias para proteger adequadamente a empresa neste novo ambiente de trabalho virtual em larga escala.

Ao mesmo tempo, os ciberataques de todos os tipos estão em alta, com as tentativas de phishing aumentando significativamente. A Divisão Cibernética do FBI estava recebendo mais de 4.000 reclamações sobre ataques cibernéticos diariamente nos primeiros meses da pandemia – um aumento de 400% – quando todos, desde escolas a empresas Fortune 50, mudaram para remotos; a empresa de segurança cibernética MonsterCloud relatou um aumento de 800% nos ataques durante a primavera norte-americana.

Pior ainda, os especialistas dizem que os cibercriminosos estão se tornando mais organizados, mais sofisticados e mais direcionados, com o número de ataques de spear phishing também em ascensão. A empresa de segurança cibernética Barracuda, por exemplo, viu um aumento de 667% nos ataques de phishing no primeiro mês da pandemia.

Os líderes de segurança dizem que a profissão de segurança precisa intensificar o treinamento de conscientização, liberar os programas do que não está funcionando e adotar abordagens mais modernas e eficazes se quiser fazer um trabalho melhor de combate à crescente maré de ameaças. O treinamento precisa ser uma iniciativa estratégica e valiosa, dizem eles, porque muito do que está em vigor não prepara adequadamente os trabalhadores.

O problema com o programa

Cerca de 67% dos 1.873 líderes de segurança e tecnologia entrevistados pela ISACA para seu relatório de privacidade na prática de 2021 disseram que fornecem treinamento de privacidade anualmente, enquanto apenas 14% o fornecem trimestralmente. Cerca de 52% também o fornecem como parte da integração e 18% oferecem treinamento após a ocorrência de um evento significativo. “Ainda temos essa mentalidade de treinamento anual, essa mentalidade de um e pronto, mas superamos isso”, diz Eckenrode.

Por outro lado, os especialistas dizem que algumas organizações continuam a ver o treinamento apenas como um requisito de conformidade, uma atividade a ser realizada para marcar a caixa. Eles não valorizam verdadeiramente o treinamento como uma oportunidade de educar os usuários sobre como eles podem ajudar a fortalecer a postura de segurança corporativa por meio da compreensão e cumprimento dos controles de segurança e da adoção das melhores práticas. Como resultado, essas organizações geralmente não investem muito no desenvolvimento de programas robustos que realmente poderiam fazer a diferença.

Mas mesmo as organizações que valorizam o treinamento como uma forma de melhorar a segurança corporativa, muitas vezes descobrem que seus programas não são tão fortes quanto gostariam.

“O treinamento de conscientização sobre segurança é amplamente ineficaz. Esses programas são, na melhor das hipóteses, minimamente bem-sucedidos e o ROI em termos de impacto é bastante baixo. Exercícios típicos executados antes ou depois do treinamento mostram pouca diferença”, diz John Rostern, Vice-Presidente Sênior de Gestão de Risco e Governança da consultoria NCC Group.

Vários líderes de segurança ofereceram uma lista de motivos. Eles culpam a falta de conteúdo envolvente. Eles criticam o conteúdo de treinamento que muitas vezes é muito técnico para a maioria dos trabalhadores e as aulas que são genéricas, em vez de adaptadas a grupos diferentes, para lidar com os riscos e ataques que eles têm mais probabilidade de enfrentar. Eles também citam a má entrega de informações, descrevendo-a como “chata”. E apontam a falta de recursos para aprimorar os materiais de treinamento, bem como a frequência e o tipo de treinamento oferecido.

“A principal razão pela qual os programas de treinamento e conscientização em segurança cibernética não são eficazes o suficiente é que esses eventos são pontuais e irregulares. As práticas de segurança da informação acabam se desconectando das obrigações reais de trabalho de um funcionário e não são integradas ao fluxo de trabalho”, diz Ekaterina Kilyusheva, Chefe do Grupo de Pesquisa de Análise de Segurança da Informação da Positive Technologies.

“Muitas vezes as organizações e seus funcionários recebem conhecimento teórico e nenhuma habilidade prática. O conhecimento teórico deve ser complementado por exercícios que ajudem a consolidar novas competências. Os próprios materiais podem estar desatualizados ou ignorar as ameaças reais relevantes para a empresa. A monotonia dos materiais de treinamento e a complexidade para funcionários não diretamente relacionados à TI são dois aspectos adicionais que podem tornar os programas de treinamento e conscientização ineficazes”, ela continua. “Em alguns casos, uma empresa não tem metas específicas de treinamento ou métricas que ajudem a medir os resultados e entender se o programa é eficaz e o que precisa ser mudado. Não existe um teste prático de quão bem os funcionários dominaram o programa e quão habilmente eles podem aplicar esse conhecimento na vida”.

A pesquisa sugere o quão ineficaz o treinamento pode ser. O relatório “2020 State of Privacy and Security Awareness” da Osterman Research e da empresa de treinamento em segurança MediaPRO entrevistou mais de 1.000 funcionários em diversos tipos de organizações e cargos e descobriu que “muitos entrevistados continuam a ter ideias erradas persistentes sobre malware, phishing e compartilhamento de arquivos em nuvem, colocando em risco seus dados pessoais e de empregadores”.

Na verdade, o estudo descobriu que mais de 60% dos funcionários não sabiam se seu empregador tinha que cumprir as principais regulamentações de privacidade, como o California Consumer Protection Act (CCPA) ou a GDPR da União Europeia.

Soluções para o sucesso

Claro, há muitos CISOs que trabalharam para tornar o treinamento e a conscientização partes essenciais de suas estratégias de segurança – e estão tendo sucesso em fazer com que os funcionários sejam uma parte mais eficaz da defesa corporativa.

“Muitas empresas entendem que no ambiente de hoje estão sempre conectadas e precisam proteger sua marca. Eles sabem que um hack será um golpe para sua marca e reputação, então eles sabem que precisam colocar mais em treinamento de segurança e ajudar seu pessoal a evitar ser hackeado. É aqui que eles estão colocando suas energias atualmente”, disse Kelvin Coleman, Diretor Executivo da National Cyber Security Alliance.

Coleman diz que vê CEOs, conselhos e outros executivos apoiando os esforços do CISO para tornar o treinamento uma prioridade e comprometer os recursos necessários para tornar seus programas mais fortes, mais frequentes e, em última análise, mais eficazes.

Muitos estão se saindo muito bem nesses pontos, acrescenta Coleman.

Ross Young, CISO da Caterpillar Financial Services Corporation e palestrante da SANS e da Johns Hopkins University, tem avançado no programa de treinamento de sua empresa, considerando como sua equipe poderia adicionar um treinamento mais envolvente e impactante ao adotar a gamificação e outras ferramentas digitais para tornar as aulas mais memoráveis e identificáveis com os cenários que os usuários enfrentarão na vida real.

“Estamos tendo aulas de videogame”, diz ele, acrescentando que os fornecedores agora oferecem treinamento de entretenimento que apresenta experiências de fuga e aventuras de escolha sua para realmente trazer os usuários junto com as aulas.

Young está desenvolvendo maneiras de direcionar melhor o treinamento para que possa dar aulas mais sofisticadas. E ele está analisando o desempenho para ver quais trabalhadores em quais divisões cometem erros repetidamente e de que maneiras, para que Young e sua equipe de segurança possam determinar quais políticas são mal compreendidas e decidir a melhor forma de lidar com esses problemas.

Young diz acreditar que encontrar novas maneiras de medir o sucesso dos esforços de treinamento será a chave para melhorar o treinamento em geral. “Precisamos de mais orientação sobre o que queremos que o treinamento ofereça”, acrescenta.

Outros também estão desenvolvendo programas de treinamento que criam uma mentalidade mais focada na segurança entre sua força de trabalho.

Por exemplo, Michael Schenck, Consultor Sênior de cibersegurança da empresa de consultoria de conformidade CyZen, defende o uso de pequenas explosões de informações, dedicando 15 minutos para explorar um único tópico e distribuindo essas sessões ao longo do ano. Ele diz que essas lições são muito mais fáceis de absorver do que quando estão todas embaladas em um longo evento de treinamento anual.

Schenck também acredita em dar aulas de várias maneiras. “Todo mundo aprende de maneira diferente, então você tem que ter esses caminhos amplos para fornecer essas informações”, diz ele, acrescentando que a gamificação e o aprendizado adaptativo costumam ser particularmente eficazes na educação de muitos trabalhadores.

Enquanto isso, Eckenrode diz que os CISOs devem criar procedimentos que tornem mais fácil para os funcionários colocarem suas lições em prática. Se eles ensinam os funcionários a identificar e relatar possíveis tentativas de phishing, por exemplo, os CISOs devem ter uma maneira clara e fácil para os usuários fazerem exatamente isso.

E para realmente solidificar as lições de segurança, Eckenrode e outros enfatizam que os próprios CEOs devem desempenhar um papel. Os trabalhadores que sabem que o CEO, assim como o conselho e todo o C-suite, valoriza o treinamento em segurança podem ajudar a absorver as lições.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.