Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
5 razões por que colaboradores odeiam treinamentos de cibersegurança
Home > Gestão

5 razões por que colaboradores odeiam treinamentos de cibersegurança

Reunimos algumas das queixas mais comuns sobre treinamentos e dicas para fazer com que os seus funcionários passem a adorá-los

Roger A. Grimes, CSO (EUA)

14/10/2019 às 7h56

Foto: Shutterstock

Não é exagero dizer que a maioria dos funcionários odeia fazer treinamentos de conscientização sobre segurança cibernética, mas não precisa ser assim. Conheço muitos especialistas que trabalham tão bem que seus colaboradores não apenas desfrutam do treinamento, mas pedem mais. Eu sei que você pensa que estou mentindo, mas não estou.

Aqui estão algumas queixas comuns sobre os treinamentos de conscientização sobre segurança e dicas para fazer com que os seus funcionários aproveitem esses momentos.

1. O treinamento de conscientização sobre segurança cibernética é chato

Pode ser chato, pelo menos da maneira que a maioria das organizações faz. Torne-o mais emocionante. Os treinamentos de conscientização de segurança geralmente envolvem uma apresentação em vídeo feita por alguém que poderia estar explicando como os bebês nascem ou explicando a tabela periódica dos elementos. É sério e sem emoção. Você tem sorte se o vídeo tiver alguns elementos gráficos ou música.

Não estou dizendo que seu vídeo de treinamento de conscientização de segurança tenha que ser feito com a energia chocante de Robin Williams no filme "Good Morning, Vietnam", mas você precisa que seu treinamento desperte a atenção.

Os melhores vídeos de treinamento que eu vi são de apresentadores enérgicos que sabem variar sua voz e tom emocional. Eles nos levam passear. Esses vídeos usam atores profissionais, fundos legais, música, têm histórias e são filmados por equipes de produção no estilo de Hollywood. Não se trata apenas de fotos de uma câmera de um iPhone com alguém parado na frente de uma tela ou de uma lousa. Vídeos de treinamento de conscientização de segurança que se parecem com episódios profissionais do estilo Netflix são os que eu já vi funcionários pedirem mais.

Mas varie o treinamento. Se tudo o que você está fazendo é exibir vídeos, por mais emocionantes que sejam, ficará entediante, especialmente se for o mesmo estilo o tempo todo. Em vez disso, mude o conteúdo do treinamento. Use alguns vídeos e gamifique o processo.

Um dos jogos mais comuns que eu já vi em treinamentos de conscientização de segurança é onde e-mails simulados, falsos e phishing são enviados, e os usuários recebem um "botão" para denunciar os conteúdos suspeitos. Se os participantes reportarem 100% dos e-mails maliciosos em um determinado período, eles receberão uma recompensa.

Pode ser um reconhecimento especial em um boletim informativo da empresa, cartões-presente ou a participação em uma festa, por exemplo.

2. Os funcionários não entendem a importância do treinamento de conscientização de segurança

A maioria dos funcionários não entende a importância do treinamento de conscientização de segurança. Por isso, certifique-se de que eles saibam o quão essenciais são esses conhecimentos para o seu próprio sucesso e para o da organização.

CIO2503

E-book por:

Se a empresa sofrer uma invasão, não oculte os detalhes. Informe todos os funcionários como aconteceu, o que o hacker fez e como poderia ter sido evitado. Os melhores vídeos de treinamento de conscientização de segurança que vi incluíam os funcionários da organização relatando como eles foram enganados ao clicar em algo que não deveriam. Eles puderam ver um colega de trabalho compartilhando como isso aconteceu, que erros cometeu e o que poderia ter feito melhor.

Compartilhe as histórias da vida real de organizações como a sua que foram afetadas por incidentes de segurança cibernética. Com o ransomware desenfreado, há muitas histórias de empresas que podem servir de exemplo.

3. O treinamento de conscientização de segurança não é pessoal

Se você quer fazer alguém se importar com um assunto, torne-o pessoal. Não basta treinar os colaboradores para proteger o seu negócio. Informe aos funcionários que você se importa com eles e suas famílias. Dê a eles treinamento e ferramentas para ajudá-los a ter mais segurança cibernética em casa. Os profissionais que treinam seus cônjuges, pais e filhos sobre conscientização de segurança cibernética serão alguns dos seus melhores defensores no trabalho.

4. O treinamento de conscientização de segurança não é oportuno

Certifique-se de que seu programa de treinamento de conscientização sobre segurança seja personalizado, direcionado à função do colaborador e apropriado para aquele momento. Eu não gostava de fazer treinamentos quando não se aplicavam a mim. Ninguém gostaria disso.

Por exemplo, não forneça treinamento sobre como evitar faturas falsas e transferências maliciosas para funcionários que não pagam contas. Quando a temporada fiscal chegar, no entanto, verifique se todos os funcionários estão treinados sobre como evitar esquemas falsos de solicitação de informações W-2. Dê instruções sobre como evitar golpes de cartões-presente no Natal. Instrua as pessoas sobre como corrigir adequadamente seus sistemas e como reconhecer adequadamente seus programas anti-malware para que não sejam enganados por uma versão falsa de ambos.

5. O treinamento de conscientização de segurança parece punitivo

Muitos funcionários me disseram como o treinamento de conscientização sobre segurança parece unilateral e punitivo, pois eles precisam participar do treinamento em um determinado período de tempo ou terão problemas. Você precisa motivar as pessoas a participar do treinamento, e se você o tornar divertido e diferente, poderá fazer com que elas queiram aprender mais. A gamificação de que falei anteriormente é uma boa maneira de fazer isso.

Por exemplo, diga a todos os funcionários que quem reportar 100% de todos os emails de phishing por um ano receberá um vale-presente da Amazon. Isso pode custar US$ 25, US$ 50 ou US$ 100, mas o retorno de um funcionário bem treinado será muito maior que isso.

Muitas vezes me perguntam se um funcionário deve ser demitido ou disciplinado por falhar em um teste ou em um evento de ameaça real. Conheço empresas, geralmente do setor financeiro, que têm essa prática. Mas eu (e milhares de outros) podemos enganar qualquer um.

Você pode pensar que não pode ser enganado, mas pode. Não tem nada a ver com inteligência. Todos podem ser enganados. Todo mundo pode cometer um erro. Eu não entendo penalidades implacáveis ​​ou excessivamente duras. Você obterá muito mais produtividade de um funcionário que se sente valorizado e que recebeu o treinamento apropriado.

Isso não quer dizer que alguém que sempre clica em tudo e não faz nada para ajudar a fortalecer a cibersegurança da sua organização não deve enfrentar consequências.

Talvez essas consequências possam ser o bloqueio do navegador e do sistema de e-mail para que eles possam se comunicar apenas com locais e pessoas pré-aprovados, pelo menos até que provem em testes futuros que são cidadãos responsáveis ​​que se preocupam com a organização. Assim eles entenderão a penalidade e terão a chance de crescer e melhorar.

Conheço muitas empresas cujos programas de treinamento em conscientização de segurança cibernética usam todas essas táticas. Essas organizações e seus funcionários estão melhores, mais felizes e mais seguros por causa delas.

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15