Depois de dois longos anos de conferências virtuais, foi uma oportunidade fantástica ver tantos clientes e colegas na recente Conferência de Formação e Sensibilização sobre Segurança da NCA.

E, durante o evento, vi que, depois de todos estes anos, o mercado está a começar a mudar a sua linguagem e a reconhecer o valor em três áreas-chave.  

Estas três áreas pareciam-me muito familiares. Enquanto o mercado se centrava na linguagem de sensibilização e formação, nós falávamos sobre prontidão e aprendizagem, e sobre como provocar uma verdadeira mudança comportamental.  

Sensibilização vs Prontidão

Há várias razões pelas quais a ideia de sensibilização nunca me pareceu acertada. Antes de mais, representa puramente a entrada do gestor de formação – quaisquer ações que os formadores estejam a tomar para tornar os colaboradores cientes dos riscos de cibersegurança na forma como trabalham. Os gestores de formação implementam técnicas e campanhas de sensibilização para tentar provar uma mudança comportamental por parte dos seus colaboradores.  

Uma abordagem mais inteligente sempre foi focar-se no outro lado da equação – a saída que os colaboradores criam. Se a entrada é sensibilização, a saída é prontidão. Quão preparados estão os seus colaboradores para enfrentar os riscos de cibersegurança de hoje? Esta é uma definição prática que pode ser planeada, executada e, crucialmente – medida.  

Entretenimento vs Aprendizagem 

A próxima mudança é passar da ideia de formação para aprendizagem. Isto pode ser analisado de forma semelhante através da lente de entrada vs saída. Em vez de olhar para o que os formadores podem fornecer, (e, neste momento, a tendência parece ser vídeos e jogos, apostando na gamificação e na diversão para tentar tornar a formação mais envolvente) os formadores precisam de perceber como os colaboradores aprendem. Não estamos à procura de entreter os nossos formandos, nem sequer estamos, na maior parte do tempo, à procura de comunicar diretamente com eles. Estamos simplesmente a tentar ajudá-los a aprender e a adotar novos comportamentos nos bastidores, e depois medir a saída dessa aprendizagem em termos da sua mudança comportamental. 

Para fazer isso, não precisamos de técnicas de formação na moda nem de gamificação. Em vez disso, perguntamo-nos, quais são os gatilhos de aprendizagem dos colaboradores? Como podemos proporcionar oportunidades para praticarem e repetirem o que precisam de saber num contexto real? Que métricas nos ajudarão a acompanhar a sua mudança comportamental ao longo do tempo?   

Assinalar a Caixa vs Mudança Comportamental 

Uma abordagem tradicional à sensibilização para a cibersegurança são as certificações. O CISO torna obrigatório para toda a empresa fazer o Cybersecurity 101 e depois assinala todos os colaboradores como formados com sucesso. Missão cumprida, e a formação de sensibilização para a segurança pode ser riscada da lista de tarefas da organização.  

No entanto, o que foi realmente alcançado aqui? Todos sabemos que não existe tal coisa como total segurança quando se trata de esquemas de phishing e prontidão para a segurança. Os hackers estão cada vez mais persistentes, e existem milhares de kits automatizados que tentam continuamente quebrar as defesas dos seus colaboradores, manipulando o medo, a confiança ou o estado de espírito. Estar sentado numa sala enquanto um formador lê um slide para si não o torna preparado. O mesmo se aplica a ver vídeos engraçados ou fixes. Tudo o que faz é criar uma falsa sensação de segurança para os seus colaboradores, levando-os a pensar que não precisam de estar vigilantes, porque estão totalmente preparados e têm o certificado para o provar.  

É importante focarmo-nos em apoiar os colaboradores a praticar novos comportamentos esperados, criando uma cultura de aprendizagem contínua em vez de uma iniciativa de assinalar caixas.  

Não se trata de nós sentarmo-nos a formar colaboradores em branco e a transmitir a nossa enorme quantidade de informação. Os colaboradores não são páginas em branco – já têm bastante conhecimento. O que precisam são de oportunidades de aprendizagem – a oportunidade de praticar e repetir os comportamentos desejados. Como sabemos que a aprendizagem é mais impactante no momento da necessidade, apoiamos os colaboradores com várias simulações de phishing que, quando clicadas, fornecem momentos de aprendizagem curtos e acionáveis para o utilizador. A repetição ajuda os colaboradores a criar generalizações cognitivas juntamente com pequenos fragmentos de conhecimento específicos e contextuais. Podemos então medir a resposta a estas simulações, fornecendo-nos dados do mundo real sobre a mudança comportamental.  

Foi fantástico ver estes temas a serem reconhecidos e compreendidos pela indústria na conferência da NCA deste ano. Mal posso esperar para ver como este novo nível de compreensão contribui para um panorama mais eficaz, resiliente e preparado para os negócios de hoje. 

Saiba mais aqui: CybeReady.com 

Colaborador convidado: Mike Polatsek, cofundador e CSO na CybeReady