Os programas de segurança e de conscientização sobre phishing acabam com o tempo, e os funcionários precisam ser treinados novamente após cerca de seis meses. É o que mostra um artigo apresentado na conferência de segurança USENIX SOUPS no mês passado. O objetivo do artigo era analisar a eficácia do treinamento de phishing em tempo.
Pesquisadores de uma universidade alemã entrevistaram 409 dos 2.200 funcionários do Escritório Estadual de Geoinformação e Pesquisa Estadual (SOGSS). Eles aproveitaram que as organizações do setor da administração pública alemã devem passar por programas obrigatórios de treinamento de conscientização sobre phishing.
Os pesquisadores testaram a eficácia do treinamento de phishing ao longo do tempo, com testes periódicos em intervalos regulares, para determinar quando os funcionários da SOGSS perderiam a capacidade de detectar e-mails de phishing.
Os funcionários foram divididos em vários grupos e testados quatro, seis, oito, dez e doze meses, respectivamente, depois de receber um curso de treinamento de phishing no local.
A equipe de pesquisa descobriu algo surpreendente. Até quatro meses depois do treinamento eles eram capazes de identificar corretamente os e-mails de phishing. Porém, quando esse tempo ultrapassou os seis meses, eles já haviam esquecido muita coisa do treino.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
Treinamento contra phishing deve ter reforço a cada 6 meses. Vídeo e treino interativo funcionam melhor
Os pesquisadores também desenvolveram seus próprios “lembretes” para refrescar o conhecimento de phishing dos funcionários. Foi isso que eles usaram para treinar novamente os funcionários após responderem à pesquisa. Ao todo, são quatro desses lembretes distribuídos a quatro grupos diferentes: texto, vídeo, exemplos interativos e um texto curto.
“Doze meses após o tutorial, comparamos a retenção de conhecimento dos quatro grupos […]. Entre as quatro medidas de lembrete, o uso de vídeo e os exemplos interativos tiveram o melhor desempenho, com seu impacto durando pelo menos seis meses após ser lançado.”
Os acadêmicos concluíram que, embora o treinamento de funcionários na detecção de e-mails de phishing possa ajudar as organizações a se defenderem de alguns ataques, esse treinamento precisa ser cíclico, com sessões de treinamento repetidas, de forma ideal a cada seis meses e usando medidas de treinamento interativas ou de vídeo.
Detalhes adicionais sobre o trabalho da equipe de pesquisa podem ser encontrados aqui ou aqui.
