Os programas de segurança e de conscientização sobre phishing acabam com o tempo, e os funcionários precisam ser treinados novamente após cerca de seis meses. É o que mostra um artigo apresentado na conferência de segurança USENIX SOUPS no mês passado. O objetivo do artigo era analisar a eficácia do treinamento de phishing em tempo.
Pesquisadores de uma universidade alemã entrevistaram 409 dos 2.200 funcionários do Escritório Estadual de Geoinformação e Pesquisa Estadual (SOGSS). Eles aproveitaram que as organizações do setor da administração pública alemã devem passar por programas obrigatórios de treinamento de conscientização sobre phishing.
Os pesquisadores testaram a eficácia do treinamento de phishing ao longo do tempo, com testes periódicos em intervalos regulares, para determinar quando os funcionários da SOGSS perderiam a capacidade de detectar e-mails de phishing.
Os funcionários foram divididos em vários grupos e testados quatro, seis, oito, dez e doze meses, respectivamente, depois de receber um curso de treinamento de phishing no local.
A equipe de pesquisa descobriu algo surpreendente. Até quatro meses depois do treinamento eles eram capazes de identificar corretamente os e-mails de phishing. Porém, quando esse tempo ultrapassou os seis meses, eles já haviam esquecido muita coisa do treino.
Treinamento contra phishing deve ter reforço a cada 6 meses. Vídeo e treino interativo funcionam melhor
Os pesquisadores também desenvolveram seus próprios “lembretes” para refrescar o conhecimento de phishing dos funcionários. Foi isso que eles usaram para treinar novamente os funcionários após responderem à pesquisa. Ao todo, são quatro desses lembretes distribuídos a quatro grupos diferentes: texto, vídeo, exemplos interativos e um texto curto.
“Doze meses após o tutorial, comparamos a retenção de conhecimento dos quatro grupos […]. Entre as quatro medidas de lembrete, o uso de vídeo e os exemplos interativos tiveram o melhor desempenho, com seu impacto durando pelo menos seis meses após ser lançado.”
Os acadêmicos concluíram que, embora o treinamento de funcionários na detecção de e-mails de phishing possa ajudar as organizações a se defenderem de alguns ataques, esse treinamento precisa ser cíclico, com sessões de treinamento repetidas, de forma ideal a cada seis meses e usando medidas de treinamento interativas ou de vídeo.
Detalhes adicionais sobre o trabalho da equipe de pesquisa podem ser encontrados aqui ou aqui.
