No mundo da segurança digital, um dos assuntos que mais geram debate é sobre o treinamento de funcionários. Ainda que as empresas tenham sistemas robustos para a defesa cibernética, é necessário que seus colaboradores possuam habilidades que os permitam identificar riscos e mitigá-los. Afinal, uma proteção eficiente sempre dependerá das pessoas.Entretanto, muitas vezes a realidade que se vê é outra. Não são raros os casos em que os treinamentos são realizados de maneira insuficiente, seja na abordagem do conteúdo ou no tempo de duração. A frequência na qual tais capacitações são realizadas também é questionável, sobrando exemplos onde acontecem a cada um ou dois anos.

Esse intervalo é grande demais. Os programas de segurança e de conscientização sobre phishing, por exemplo, diminuem com o tempo, e os funcionários precisam ser treinados novamente após cerca de seis meses. Quem afirma isso é um artigo apresentado na conferência de segurança USENIX SOUPS. O objetivo era analisar a eficácia do treinamento de phishing com o passar do tempo, e trouxe resultados surpreendentes.

Aproveitando o fato de que as organizações do setor da administração pública alemã devem passar por programas de treinamento de conscientização sobre phishing, acadêmicos de várias universidades do país entrevistaram 409 dos 2.200 funcionários do Escritório Estadual de Geoinformação e Pesquisa Estadual (SOGSS).

Os pesquisadores testaram a eficácia do treinamento de phishing ao longo do tempo, com testes periódicos em intervalos regulares, para determinar quando – e se – os colaboradores da SOGSS perderiam a capacidade de detectar e-mails de phishing.

Os funcionários foram divididos em vários grupos e testados aos quatro, seis, oito, dez e doze meses, respectivamente, depois de receber um curso de treinamento de phishing no local.

A equipe de pesquisa descobriu que os participantes da pesquisa foram capazes de identificar corretamente os e-mails de phishing depois de quatro meses após o treinamento inicial. Contudo, esse não era o caso após seis meses ou mais, com um novo treinamento sendo recomendado após esse período.

Os pesquisadores também desenvolveram seus próprios “lembretes” para reabastecer a consciência e o conhecimento de phishing dos funcionários. Tais lembretes foram usados para treinar novamente os funcionários após responderem à pesquisa, e novamente seis e doze meses depois.

Quatro tipos de lembrete foram distribuídos a quatro grupos (um por grupo): (a) texto, (b) medida de vídeo, (c) exemplos interativos e (d) um texto curto.

Doze meses depois, compararam a retenção de conhecimento dos quatro grupos. A medida de vídeo e a medida de exemplos interativos tiveram o melhor desempenho, com seu impacto durando cerca de seis meses.

Os acadêmicos concluíram que, embora o treinamento de funcionários na detecção de e-mails de phishing possa ajudar as organizações a se defenderem de alguns ataques, esse ensino precisa ser cíclico, com sessões repetidas a cada semestre – e usando medidas de treinamento interativas ou de vídeo.

Com cibercriminosos renovando suas táticas semana após semana, com meios cada vez mais eficazes de driblar as detecções mais avançadas, não é de se espantar se novas pesquisas sugerirem intervalos de treinamento ainda menores. Afinal, os crackers estão cada vez mais velozes – e nada indica que colocarão o pé no freio.