Depois de dois longos anos de conferências virtuais, foi uma oportunidade fantástica ver tantos clientes e colegas na recente Conferência de Treinamento e Conscientização em Segurança da NCA.

E durante o evento, vi que, após todos esses anos, o mercado está começando a mudar sua linguagem e a ver o valor em três áreas principais.  

Essas três áreas me pareceram muito familiares. Enquanto o mercado estava focado na linguagem de conscientização e treinamento, falávamos sobre prontidão e aprendizado, e como impactar uma mudança comportamental real.  

Conscientização vs Prontidão

Há várias razões pelas quais a ideia de conscientização nunca me pareceu correta. Em primeiro lugar, representa puramente a contribuição do gerente de treinamento – quaisquer ações que os treinadores estão tomando para tornar os funcionários cientes dos riscos de cibersegurança na forma como trabalham. Os gerentes de treinamento implementam técnicas e campanhas de conscientização para tentar provar a mudança comportamental por parte de seus empregados.  

Uma abordagem mais inteligente sempre foi focar no outro lado da equação – o resultado que os funcionários geram. Se a contribuição é conscientização, o resultado é prontidão. Quão prontos estão seus funcionários para enfrentar os riscos de cibersegurança de hoje? Esta é uma definição prática que pode ser planejada, executada e, crucialmente – medida.  

Entretenimento vs Aprendizado 

A próxima mudança é da ideia de treinamento para aprendizado. Isso pode ser analisado de maneira semelhante através da lente de entrada vs saída. Em vez de olhar o que os treinadores podem fornecer, (e no momento a tendência parece ser vídeos e jogos, apoiando-se na gamificação e diversão para tentar tornar o treinamento mais envolvente) os treinadores precisam entender como os funcionários aprendem. Não estamos tentando entreter nossos alunos, nem mesmo nos comunicamos diretamente com eles na maioria das vezes. Estamos simplesmente tentando ajudá-los a aprender e adotar novos comportamentos nos bastidores, e então medir o resultado desse aprendizado em termos de sua mudança comportamental. 

Para isso, não precisamos de técnicas de treinamento da moda e gamificação. Em vez disso, perguntamos a nós mesmos, quais são os gatilhos de aprendizagem dos funcionários? Como podemos proporcionar oportunidades para que eles pratiquem e repitam o que precisam saber em um ambiente real? Quais medições nos ajudarão a acompanhar a mudança comportamental ao longo do tempo?   

Marcar a Caixa vs Mudança Comportamental 

Uma abordagem tradicional para conscientização sobre cibersegurança é a certificação. O CISO torna obrigatório para toda a empresa fazer o Cybersecurity 101 e depois marca todos os funcionários como treinados com sucesso. Missão cumprida, e o treinamento de conscientização em segurança pode ser marcado na lista de tarefas organizacionais.  

No entanto, o que realmente foi conquistado aqui? Todos sabemos que não existe uma segurança totalmente garantida quando se trata de golpes de phishing e prontidão em segurança. Os hackers estão cada vez mais persistentes, e existem milhares de kits automatizados que continuamente tentam violar as defesas de seus funcionários manipulando seu medo, confiança ou humor. Sentar-se em uma aula enquanto um instrutor lê para você de um slide não o deixa preparado. O mesmo é verdade ao assistir vídeos engraçados ou legais. Tudo o que isso faz é criar uma falsa sensação de segurança para seus funcionários, de que não precisam estar vigilantes, pois estão totalmente preparados e têm o certificado para provar isso.  

É importante focar no apoio aos funcionários para praticar novos e esperados comportamentos, criando uma cultura contínua de aprendizado em vez de uma iniciativa de marcar caixa.  

Não se trata de nós sentarmos e treinarmos funcionários com a mente em branco, transmitindo nosso vasto conhecimento. Os funcionários não são folhas em branco – eles têm muito conhecimento. O que eles precisam são oportunidades de aprendizagem – a chance de praticar e repetir os comportamentos desejados. Como sabemos que o aprendizado é mais impactante no momento da necessidade, apoiamos os funcionários com várias simulações de phishing que, quando clicadas, fornecem momentos curtos de aprendizado acionáveis para o usuário. A repetição ajuda os funcionários a criar generalizações cognitivas junto com conhecimentos específicos e contextuais. Podemos então medir a resposta a essas simulações, nos fornecendo dados reais sobre a mudança comportamental.  

Foi fantástico ver esses temas sendo reconhecidos e compreendidos pela indústria na conferência da NCA deste ano. Mal posso esperar para ver como esse novo nível de compreensão contribui para um cenário mais eficaz, resiliente e pronto para os negócios de hoje. 

Saiba mais aqui: CybeReady.com 

Contribuidor Convidado: Mike Polatsek, Co-fundador e CSO da CybeReady