Por Cláudia Gomes, Digital Learning Developer | VisionWare Academy
A utilização das Tecnologias da Informação e Comunicação é uma realidade nas organizações. Num mundo global e interconectado, o progresso digital é explorado pelas empresas, mas igualmente pelos atacantes. Com os ciberataques a crescerem em escala, complexidade e sofisticação, e direcionados a qualquer setor ou atividade de negócio, a resposta tem de ser cabal. Ataques bem conseguidos, podem provocar a paralisação do negócio, danos reputacionais, danos financeiros, entre outros potencialmente disruptivos.
No último relatório Riscos & Conflitos, do Observatório de Cibersegurança do Centro Nacional de Cibersegurança (CNCS, 2023), emergem algumas ameaças, como o ransomware, o phishing, a burla online, o comprometimento de contas, diversos tipos de engenharia social e a cibersabotagem. Como preconizado no referido relatório, algumas ameaças implicam soluções sobretudo técnicas, outras exigem um forte envolvimento do fator humano.
As organizações reforçam os seus sistemas de informação assentes num conjunto de boas práticas, desenvolvem e implementam políticas e procedimentos, com vista à proteção dos seus ativos, correto comportamento dos colaboradores e unificação da ação.
Mas com ataques de Engenharia Social, investir em formação na área da cibersegurança ganha relevância, a par do investimento e robustecimento das estruturas tecnológicas da organização e políticas internas.
No livro The Art of Deception: Controlling the Human Element of Security, de Kevin D. Mitnick e William L. Simon, os autores referem que todos somos vulneráveis a ataques de engenharia social e que a defesa efetiva de uma organização passa pela educação e formação de todos os colaboradores, numa base regular, munindo-os de um nível aceitável de suspeita e precaução.
Torna-se, assim, essencial que as organizações olhem para a formação dos colaboradores como uma componente fundamental e prioritária da sua estratégia de cibersegurança. Com o objetivo de sensibilizar e treinar o comportamento dos colaboradores face a diversas ameaças cibernéticas, as organizações definem e implementam um plano formativo incisivo nos temas da segurança da informação e cibersegurança.
O plano formativo gizado pode prever ações de formação em formato de curso, microlearning, simulação, aplicado ao processo de onboarding, assim como à formação contínua dos colaboradores, nas modalidades presencial e online. Importante considerar que a ambientação ao tema e a adoção de comportamentos preventivos não se esgotam numa única ação de formação, independentemente do formato e modalidade que esta assuma. É a continuidade e a consistência que preparam os colaboradores para respostas assertivas na proteção da informação.
Com uma cadência formativa, os colaboradores, progressivamente, reconhecem e reagem adequadamente a potenciais ameaças cibernéticas, minimizando a possibilidade e o impacto de um eventual ciberataque.
O plano formativo deve fomentar a autonomia do formando, estar contextualizado com a sua experiência e realidade profissional, possibilitando a aplicabilidade do conhecimento apreendido. Assim, diferentes necessidades e níveis de conhecimento são reconhecidos, saindo do âmbito de um projeto desenhado para todos, no modelo one size fits all.
A formação em cibersegurança deve abranger todos os níveis hierárquicos da organização, visando uma resposta unificada. Ainda que haja colaboradores sem acesso a computador para as suas tarefas profissionais é essencial que estes cumpram um plano formativo.
Algumas organizações podem deparar-se com a questão de como motivar e alcançar a participação de todos os colaboradores nas ações de formação implementadas. Nesta senda, torna-se basilar o colaborador compreender a importância de realizar estas ações de formação, saindo da esfera do cumprimento de mais uma tarefa.
Os benefícios de um plano formativo extrapolam a prevenção a ciberataques e violações de dados. Ele potencia uma cultura de cibersegurança. Os colaboradores tornam-se seres informados, conscientes e proativos na defesa dos ativos da organização, procurando no seu dia a dia as melhores práticas de atuação e manuseamento da informação corporativa e dos equipamentos profissionais que têm à sua disposição para a sua atividade profissional.
A VisionWare foi vencedora dos Prémios de Segurança da Security Magazine 2024, com um projecto de Cyersecurity Awareness, na vertente formativa dos seus colaboradores
