Vou começar com uma história:
Sara olhou rapidamente para a linha de assunto do e-mail: "URGENTE: Pagamento Necessário – Ação Requerida". Era 16h de uma sexta-feira, e o nome do CEO estava no campo do remetente. A mensagem era direta e objetiva:
"Oi Sara, precisamos fazer este pagamento até o final do expediente de hoje, caso contrário, teremos custos legais adicionais. As informações de pagamento estão no anexo. Isso tem a ver com o Projeto Phoenix e a fusão que mencionei na call de resultados da semana passada. Estou em reuniões consecutivas com o jurídico e outros, então não tenho tempo para explicar de forma mais detalhada. Por favor, resolva isso o quanto antes."
Sara começou a ficar ansiosa e seu coração disparou. Por um instante, ela sentiu que já tinha visto algo parecido antes, provavelmente no treinamento de conscientização em cibersegurança do ano passado. Mas, naquele momento, o treinamento parecia uma lembrança distante, com slides sem vida no PowerPoint, capturas de tela esquecíveis e perguntas de múltipla escolha enfadonhas, cheias de termos difíceis de entender.
Além disso, o Projeto Phoenix era real, assim como a fusão. O tom da mensagem não era muito diferente das instruções curtas e diretas das atas de reuniões internas recentes. Ela pensou: "Quem sou eu para questionar as ordens do CEO?". Sob pressão e vulnerável à autoridade, Sara ignorou a sensação de desconforto, fez o que foi pedido e transferiu o dinheiro.
Na segunda-feira, a realidade a chocou: cerca de 200 mil dólares desapareceram em uma conta offshore controlada por golpistas. O e-mail? Falso, montado com informações extraídas de press releases e postagens no LinkedIn. Nos dias de hoje, isso é relativamente simples para qualquer golpista experiente. No fim das contas, a psicologia humana se sobrepôs às políticas de segurança.
Embora esta história seja fictícia, ela retrata um cenário que frequentemente ocorre no pesadelo recorrente que é a fraude de Comprometimento de E-mail Empresarial (BEC). Esses golpes não dependem de truques técnicos; em vez disso, exploram aspectos da nossa natureza humana, resultando em enormes lucros para os golpistas. De acordo com o FBI, entre 2013 e 2023, a fraude BEC custou às organizações ao redor do mundo US$ 55,5 bilhões.
O impacto da falha no treinamento de cibersegurança
A história acima revela um grande problema: até mesmo os funcionários mais atentos são propensos a esquecer o que "aprenderam" no treinamento de cibersegurança. Power Points enfadonhos, questionários obrigatórios e listas de verificação de conformidade são frequentemente esquecíveis e tediosos. Muitos desses programas entregam resultados medíocres, sem abordar a questão principal: o comportamento. Os funcionários e as funcionárias os suportam para acabar logo, retendo pouco e colocando em prática ainda menos.
Isso é preocupante, pois a questão não é se os funcionários enfrentarão um ataque – é se estarão preparados quando a pressão aumentar. E muitos claramente não estão, como mostra, por exemplo, o último Data Breach Investigations Report (DBIR) da Verizon, que afirma que mais de dois terços dos vazamentos de dados envolvem erro humano. Alguém foi obrigado. Alguém clicou. Alguém cometeu um erro. Alguém como Sara.
Imagine simulações de incêndio em que os funcionários assistem a uma palestra sobre teoria da combustão em vez de evacuarem o prédio. Quando uma emergência real acontece, eles podem morrer queimados, segurando seus certificados de conclusão. Então, por que "treinar" as pessoas para sobreviver a ciberataques com políticas abstratas, em vez de experiências simuladas e envolventes? Por que submeter seus funcionários a treinamentos monótonos que provavelmente falharão no momento em que a pressão aumentar?
Como resolver o problema?
Não, não é que nossos cérebros sejam preguiçosos – na verdade, eles são bastante eficientes. Todos os dias, cada um de nós processa centenas de mensagens, clicando, compartilhando e respondendo com mínima resistência. No meio do dilúvio de informações, nos tornamos condicionados a tomar decisões em frações de segundo, muitas vezes priorizando a rapidez acima de tudo, incluindo a segurança digital.
Mas, em vez de enviar alertas mais intensos ou repetir os mesmos questionários antigos, a solução exige "hackear" os cérebros. Para ser mais preciso, envolve o uso de técnicas que podem ajudar a reprogramar os caminhos de tomada de decisão e nos treinar para suspender nossas reações habituais – ou até mesmo incorporar novos hábitos em alguns de nossos comportamentos. Nossos cérebros tendem a descartar fatos secos para conservar energia, mas eles se apegam facilmente a experiências emocionais e participativas.
É aqui que as simulações realistas e a gamificação bem pensada podem ajudar, utilizando elementos dos videogames que naturalmente envolvem o cérebro. De fato, seja o aplicativo para atividades fitness transformando os treinos em jogos de status ou os aplicativos de redes sociais alimentando nossa necessidade de validação com curtidas, muitos dos seus aplicativos cotidianos já envolvem alguns dos princípios que fundamentam a gamificação. Mecanismos de jogo também estão sendo usados com grande sucesso em competições de capture the flag, que inúmeros profissionais de TI participam ansiosamente a cada ano.
Programados para histórias
Uma maneira fundamental de melhorar a segurança digital de sua organização (sem trocadilhos) envolve aproveitar o poder das histórias. Histórias são muito mais do que uma forma de passar o tempo – sempre nos ajudaram a entender o mundo e até a compartilhar estratégias de sobrevivência. Elas ativam as regiões do prazer e da emoção no cérebro, mudando atitudes e comportamentos.
Portanto, faz todo sentido que o poder dessa ferramenta de sobrevivência esteja sendo cada vez mais aproveitado para a sobrevivência na selva digital de hoje, especialmente por meio da gamificação. Quando os desafios de segurança são incorporados a uma narrativa envolvente que apresenta ameaças como personagens, medidas de segurança como ferramentas e funcionários e funcionárias como heróis, a formação e o recall de memória podem aumentar significativamente.
Enquanto isso, simulações realistas de phishing oferecem aprendizado prático e ajudam a construir memória. Elas não apenas ensinam – elas testam e reforçam os comportamentos corretos no contexto e em um ambiente seguro. O aprendizado baseado em cenários e simulações realistas coloca os funcionários em situações que imitam ameaças reais e dão vida aos conceitos de segurança, ajudando a criar âncoras de memória emocional que persistem muito depois do treinamento. Golpes envolvendo deepfakes e outras artimanhas auxiliadas por IA aumentam ainda mais a urgência – basta considerar este caso de apenas algumas semanas atrás, quando um profissional de finanças pagou US$25 milhões após uma videochamada com versões deepfake de membros da alta direção.
Como transformar o treinamento em ações instintivas
Agora, imagine que Sara, ao se deparar com aquele e-mail urgente, não entra em pânico; ao contrário, ela faz uma pausa. Ela reconhece os sinais de alerta, porque já encontrou cenários semelhantes em seu treinamento de segurança. Ela desenvolveu a memória para parar, pensar e verificar antes de agir. No final, em vez de transferir fundos para um cibercriminoso, ela alerta a equipe de cibersegurança sobre uma tentativa sofisticada de ataque, transformando um possível erro embaraçoso (provavelmente seguido por uma cobertura negativa da imprensa sobre um incidente cibernético bem-sucedido) em um momento de aprendizado poderoso para ela mesma e para toda a empresa.
O objetivo final não é apenas conformidade – é fazer os comportamentos de segurança se tornarem hábitos e, de fato, torná-los quase tão instintivos quanto se afastar do fogo.
