Desde 2017, a cada mês de abril, comemoramos o Dia Mundial da Criatividade e Inovação. Embora seja uma data voltada para a promoção do pensamento criativo e inovador, isso não significa que seja uma celebração que se deve limitar à indústria criativa e às artes. Criatividade e inovação são essenciais em todos os campos, especialmente aqueles que podem ser considerados altamente técnicos e um pouco chatos, como a segurança cibernética.
Considerando que o erro humano é responsável por muitos dos incidentes de segurança que ocorrem, trabalhar para aumentar a conscientização sobre problemas relacionados à segurança cibernética deve estar na agenda de treinamento da maioria das empresas. Mas não apenas das empresas, já que os millennials, que cresceram com a Internet permeada por todos os aspectos de suas vidas, agora estão criando filhos que não conseguem imaginar um mundo sem computadores ou sites. Portanto, os pais millennials provavelmente precisarão ensinar seus filhos a navegar na web com segurança e, quem sabe, isso pode até motivá-los a pensar em uma carreira profissional relacionada com a segurança cibernética.
Por outro lado, para muitos funcionários, ministrar palestras ou apresentações intermináveis já não é algo mais tão adequado, pois na maioria das vezes os participantes se desconcentram e deixam de dar a devida atenção a apresentação. E a chave não é demonstrar exemplos de ataques de phishing ou tipos de malware, mas chamar a atenção do público ao mesmo tempo que fazem da atividade uma peça criativa: é aí que entra a gamificação.
No dicionário, "gamificação" significa a aplicação de estratégias de jogos (mecânicas e dinâmicas de jogos) a um ambiente ou tarefa fora dele, a fim de incentivar a participação – em resumo, seria transformar um treinamento em um jogo. Ao tornar o aprendizado mais interativo e divertido, é possível fazer com que os participantes fiquem mais envolvidos com o conteúdo. Essa experiência permite aprender mais rápido e, ao mesmo tempo, reter o conteúdo na memória por muito mais tempo.
Uma maneira de usar a gamificação no campo da segurança cibernética pode ser a realização de treinamentos sobre ataques de phishing. Em vez de simplesmente mostrar exemplos de phishing para seus funcionários, tente usar um jogo ou questionário em que os participantes tenham que descobrir qual seria o golpe.
Para tornar o exercício ainda mais interessante, você pode adicionar pontos... e depois que os funcionários acumularem pontos suficientes, eles poderão trocá-los por prêmios. As recompensas podem manter os participantes mais engajados e motivados para que possam dar o melhor de si. Para colocar em números: 8 em cada 10 funcionários ficam mais motivados quando o treinamento usa técnicas de gamificação.
Se você quiser ir um pouco mais longe, outra ideia é adicionar um quadro que inclua os resultados que os funcionários estão obtendo para competir entre si. A concorrência saudável nunca é demais e acrescenta um incentivo, pois todo mundo quer ter um desempenho tão bom quanto seus colegas.
O treinamento através da gamificação pode dar muitos frutos: os funcionários não apenas permanecem motivados e comprometidos, mas a organização também se beneficia dos bons resultados. “No decorrer do ano passado, tivemos uma redução de 10% nos riscos do usuário final. Quando uma organização é comprometida por um atacante, na maioria das vezes isso acontece devido ao fator humano; ou seja, como o usuário final tem uma senha fraca, ele é enganado por um phishing e pode até mesmo baixar um malware. A quantidade de tempo necessária para o treinamento sobre esses assuntos é incrível. Portanto, alcançar uma redução de risco de cerca de 1% ou 2% é uma vitória, mas alcançar uma redução de 10% é notável”, disse George Gerchow, responsável pela segurança da Sumo Logic, em entrevista para a revista InfoSecurity Professional Magazine.
Os funcionários estão na linha de frente e os erros são caros. No entanto, no caso de um vazamento ou incidente de segurança, geralmente são os executivos que precisam agir e lidar com as consequências. São eles que precisam identificar ameaças e tomar decisões, especialmente quando o tempo é essencial. Portanto, eles também precisam estar treinados. Sem dúvidas, experimentar um ataque cibernético, ou melhor, uma simulação, é a melhor maneira de treinar. Você já deve ter ouvido falar do conceito "jogos de guerra". Essa definição é usada para descrever jogos que tentam recriar situações para testar teorias e estratégias, sem a necessidade de se expor a riscos reais.
A simulação de um ataque cibernético é baseada na mesma premissa: a empresa pode testar seus tempos de reação e defesa sem sofrer danos de qualquer tipo. Dependendo dos resultados, você pode analisar aspectos que devem ser melhorados. Primeiro, é um exercício educacional, mas como imita os cenários da vida real, é mais fácil entender os ataques (simulados) depois que eles são vivenciados do que apenas lendo sobre eles. Um desses jogos foi desenvolvido pela PricewaterhouseCoopers.
Considerando que é fundamental ter um conhecimento básico de segurança cibernética nos dias de hoje, as empresas precisam treinar continuamente seus funcionários e aumentar a conscientização sobre as ameaças existentes. Ter uma abordagem criativa e inovadora para os treinamentos pode fazer uma grande diferença: não só será mais interessante para os funcionários, mas é bem provável que eles possam identificar ameaças cibernéticas de uma forma mais eficiente.
