- Um estudo da UC San Diego Health revela que treinamentos corporativos em cibersegurança têm eficácia limitada na prevenção de phishing.
- A pesquisa analisou quase 20 mil funcionários e constatou que os programas tradicionais não geraram resultados significativos.
- Durante oito meses, foram realizadas dez simulações de phishing com diferentes abordagens de treinamento.
- A taxa de falha dos funcionários treinados foi apenas 1,7% menor do que a dos não treinados, evidenciando a falta de engajamento.
- Especialistas recomendam medidas complementares, como softwares de detecção automática, para melhorar a segurança cibernética.
Os treinamentos corporativos em cibersegurança têm mostrado eficácia limitada na prevenção de golpes de phishing, conforme um estudo da UC San Diego Health. A pesquisa, divulgada pelo The Wall Street Journal, analisou quase 20 mil funcionários e revelou que os programas tradicionais de conscientização não geraram resultados significativos.
Durante um período de oito meses, a instituição realizou dez simulações de phishing com os colaboradores, divididos em cinco grupos. Cada grupo recebeu diferentes abordagens de treinamento, que variaram de dicas genéricas a sessões interativas. Um grupo, inclusive, não recebeu nenhum treinamento. Os dados mostraram que a taxa de falha dos funcionários treinados foi apenas 1,7% menor do que a dos não treinados.
A pesquisa apontou que a falta de engajamento foi um fator crucial para a baixa eficácia dos treinamentos. Mais de 75% das sessões foram concluídas em menos de um minuto, com muitos colaboradores fechando as páginas rapidamente. Grant Ho, professor assistente da Universidade de Chicago e coautor do estudo, destacou que muitos funcionários acessam os módulos apenas para verificar e-mails, sem realmente absorver o conteúdo.
Métodos de Treinamento
Os módulos interativos de perguntas e respostas mostraram um desempenho melhor entre os funcionários que completaram o treinamento, reduzindo em 19% a probabilidade de falha em simulações futuras. Contudo, a maioria dos colaboradores não finalizou as sessões, limitando os resultados positivos.
Diante dessas constatações, o estudo conclui que, embora o treinamento em conscientização seja uma prática comum, ele não é suficiente para proteger os funcionários contra ataques de phishing. Especialistas sugerem que as organizações adotem medidas complementares, como softwares de detecção automática de ataques, para fortalecer a segurança cibernética.
Entre na conversa da comunidade