Treinamentos corporativos em cibersegurança podem ter impacto limitado na prevenção de golpes de phishing, segundo dados de um estudo da UC San Diego Health e divulgados pelo The Wall Street Journal. A pesquisa analisou quase 20 mil funcionários e constatou que os programas de conscientização tradicionais apresentaram resultados pouco significativos.

Ao longo de oito meses, entre janeiro e outubro de 2023, a instituição realizou dez ataques simulados de phishing. Os participantes foram divididos em quatro grupos que receberam diferentes métodos de treinamento, incluindo dicas genéricas, sessões interativas de perguntas e respostas, além de informações específicas sobre ataques anteriores. Um quinto grupo não recebeu treinamento.

Em média, os funcionários treinados tiveram uma taxa de falha apenas 1,7% menor do que aqueles que não participaram de nenhum programa.

Os pesquisadores identificaram que a baixa eficácia estava ligada principalmente à falta de engajamento: mais de 75% das sessões de treinamento foram concluídas em menos de um minuto, e muitos funcionários fecharam a página imediatamente.

“Quando os funcionários clicam em um módulo de treinamento, muitas vezes o fazem apenas para verificar e-mails ou navegar na internet, sem absorver o conteúdo”, explicou Grant Ho, professor assistente da Universidade de Chicago e coautor do estudo.

Efeito reduzido

Os módulos interativos de perguntas e respostas demonstraram maior eficácia para os funcionários que concluíram o treinamento integralmente, reduzindo em 19% a probabilidade de falha em simulações futuras. No entanto, a maioria dos colaboradores não completou as sessões, o que fez com que os resultados fossem limitados.

Diante disso, o estudo conclui que, embora o treinamento em conscientização seja uma prática comum, ele não é suficiente para proteger os funcionários contra phishing.

Especialistas recomendam que organizações adotem medidas complementares, como softwares de detecção automática de ataques, para aumentar a segurança cibernética.