Estudo revela que treinamento em phishing falha em prevenir ataques

São Paulo — InkDesign News —

Um estudo recente destaca que as iniciativas de conscientização sobre phishing têm, na verdade, um impacto mínimo na segurança cibernética dos colaboradores, colocando em xeque a eficácia das formações tradicionais.

Vetor de ataque

A maioria dos ataques cibernéticos é atribuída a erros humanos, como cliques em links maliciosos. Um recente estudo realizado por pesquisadores da Universidade de Chicago e da Universidade da Califórnia em San Diego analisou a eficácia do treinamento em phishing em 19.789 funcionários de uma organização de saúde no período de oito meses em 2023. Os pesquisadores observaram que a maioria das formações online tem um efeito mínimo na capacidade dos funcionários de identificar e-mails maliciosos.

Impacto e resposta

Os resultados foram preocupantes. Os participantes que completaram formações interativas apresentaram uma diminuição de 19% na probabilidade de clicar em links de phishing. Por outro lado, as formações estáticas mostraram nenhum benefício. Mais de 50% das sessões de treinamento foram encerradas em menos de 10 segundos, e apenas 24% dos funcionários completaram os cursos destinados a eles.

“Os treinamentos da indústria, padrão, não são eficazes em prevenir que usuários cliquem em e-mails no futuro
(“The big finding is that these standard, out-of-the-box industry trainings are not efficacious in preventing users from clicking on emails in the future.”)

— Ariana Mirian, Pesquisadora de Segurança, Censys

Análise e recomendações

Os dados sugerem que o foco em treinamentos de conscientização pode estar equivocado. A pesquisa indica que, em vez de responsabilizar os colaboradores, as organizações devem considerar soluções técnicas que reduzam o risco de ataques. Medidas como autenticação multifatorial de hardware e revisão das políticas de segurança são alternativas viáveis. Além disso, a possibilidade de treinamentos mais personalizados e envolvidos poderia ser um campo ainda inexplorado para mitigações de phishing.

A análise revela que, apesar das percepções anteriores sobre a eficácia do treinamento em segurança, os métodos atuais falham em engajar os colaboradores de maneira produtiva, resultando na necessidade urgente de repensar as estratégias de conscientização.

Com o crescimento das ameaças cibernéticas, é fundamental que as empresas reevaluem suas abordagens e invistam em soluções que realmente protejam suas operações.

Fonte: (Dark Reading – Segurança Cibernética)