in

Treinamento contra phishing deve ter reforço a cada 6 meses

Os funcionários treinados simplesmente esqueciam dos cuidados a serem tomados.

Treinamento contra phishing deve ter reforço a cada 6 meses

Os programas de segurança e de conscientização sobre phishing acabam com o tempo, e os funcionários precisam ser treinados novamente após cerca de seis meses. É o que mostra um artigo apresentado na conferência de segurança USENIX SOUPS no mês passado. O objetivo do artigo era analisar a eficácia do treinamento de phishing em tempo.

Pesquisadores de uma universidade alemã entrevistaram 409 dos 2.200 funcionários do Escritório Estadual de Geoinformação e Pesquisa Estadual (SOGSS). Eles aproveitaram que as organizações do setor da administração pública alemã devem passar por programas obrigatórios de treinamento de conscientização sobre phishing.

Os pesquisadores testaram a eficácia do treinamento de phishing ao longo do tempo, com testes periódicos em intervalos regulares, para determinar quando os funcionários da SOGSS perderiam a capacidade de detectar e-mails de phishing.

Os funcionários foram divididos em vários grupos e testados quatro, seis, oito, dez e doze meses, respectivamente, depois de receber um curso de treinamento de phishing no local.

A equipe de pesquisa descobriu algo surpreendente. Até quatro meses depois do treinamento eles eram capazes de identificar corretamente os e-mails de phishing. Porém, quando esse tempo ultrapassou os seis meses, eles já haviam esquecido muita coisa do treino.

Treinamento contra phishing deve ter reforço a cada 6 meses. Vídeo e treino interativo funcionam melhor

Treinamento contra phishing deve ter reforço a cada 6 meses

Os pesquisadores também desenvolveram seus próprios “lembretes” para refrescar o conhecimento de phishing dos funcionários. Foi isso que eles usaram para treinar novamente os funcionários após responderem à pesquisa. Ao todo, são quatro desses lembretes distribuídos a quatro grupos diferentes: texto, vídeo, exemplos interativos e  um texto curto.

“Doze meses após o tutorial, comparamos a retenção de conhecimento dos quatro grupos […]. Entre as quatro medidas de lembrete, o uso de vídeo e os exemplos interativos tiveram o melhor desempenho, com seu impacto durando pelo menos seis meses após ser lançado.”

Os acadêmicos concluíram que, embora o treinamento de funcionários na detecção de e-mails de phishing possa ajudar as organizações a se defenderem de alguns ataques, esse treinamento precisa ser cíclico, com sessões de treinamento repetidas, de forma ideal a cada seis meses e usando medidas de treinamento interativas ou de vídeo.

Detalhes adicionais sobre o trabalho da equipe de pesquisa podem ser encontrados aqui ou aqui.