Como medir o sucesso do teu programa de formação em sensibilização para a segurança
Publicado em: 26 Nov 2021
Última modificação em: 24 Jul 2025
Eis algumas formas de captar a medida por medida do teu programa de formação em sensibilização para a segurança.
Quando se faz uma medição sobre algo, fornece-nos dados. Quer se trate do comprimento de um pedaço de fio ou da mudança de comportamento de um funcionário, quando confrontado com um e-mail de phishing, estes dados dão-nos uma visão importante de uma tarefa ou projeto.
O sucesso, ou não, de um programa de formação de sensibilização para a segurança (SAT) pode ser medido de várias formas e, ao fazê-lo, fornece informações importantes sobre a eficácia da formação. Mas a forma de otimizar estas medições requer uma equipa multifuncional com visão.
Porquê dar-se ao trabalho de medir a eficácia de um programa de formação de sensibilização para a segurança?
Um documento recente da Gartner Inc., intitulado “Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working” (Dá 3 passos para provar que o teu programa de sensibilização para a segurança está realmente a funcionar), apresenta as razões e o modo de medir um programa de SAT. O documento, escrito para gestores de segurança e de risco, identificou três razões principais pelas quais a medição da formação em sensibilização para a segurança é importante:
- Se não conseguires provar que o risco cibernético é reduzido através do programa, não conseguirás obter a adesão do nível C para continuar a formação de sensibilização para a segurança.
- A Formação de Sensibilização para a Segurança é muitas vezes introduzida numa organização sem que haja uma visão clara do que se pretende alcançar. Isto resulta num programa que não atinge as mudanças comportamentais necessárias para reduzir o risco cibernético.
- Medir o sucesso de uma formação de sensibilização para a segurança não pode basear-se em variáveis isoladas. Estes programas contêm muitos elementos e estes têm de ser captados para mostrar o verdadeiro impacto de um programa SAT.
Um dos principais pontos do documento é que uma visão clara deve definir a base de um programa de sensibilização para a segurança. Sem esta visão clara do que se pretende alcançar, as medições não farão sentido. Por outras palavras, as medições são mais eficazes se tiverem um ponto de partida como comparação. Esta visão deve, no entanto, estar diretamente ligada aos resultados do negócio. Uma forma de estabelecer este ponto de partida é utilizar uma abordagem multifuncional, ou seja, reunir equipas que ultrapassem as fronteiras organizacionais para que contribuam para o que é importante na redução do risco cibernético.
Esta abordagem é um exercício contínuo e uma boa prática, uma vez que os ciberataques causam estragos contínuos em todos os sectores da indústria. As decisões comerciais e operacionais estão agora intrinsecamente ligadas à segurança. A pandemia de Covid-19 e os mandatos de trabalho a partir de casa demonstraram este ponto, com o aumento do risco de segurança do trabalho a partir de casa; os trabalhadores a partir de casa oferecem mais oportunidades para os cibercriminosos atacarem a rede de uma empresa através dos seus empregados.
Mas uma visão precisa de medidas demonstráveis para mostrar que está a cumprir a sua missão. Mostrar ao nível da direção ou do conselho de administração como um programa está a progredir requer factos concretos. É aqui que entra a medição.
Três formas de medir o sucesso do programa de formação de sensibilização para a segurança
O documento da Gartner menciona três aspectos fundamentais que provam que o teu programa de sensibilização para a segurança está a funcionar. Estas três áreas podem ser divididas em:
Gera
Gerar uma declaração de visão baseada na cultura da segurança: o que é que a tua organização precisa do programa de sensibilização para a segurança? Que comportamentos de segurança queres que resultem da formação dos empregados em matéria de segurança?
Captura
Capturar as métricas do comportamento de segurança: criar métricas de sensibilização para a segurança que demonstrem uma mudança significativa e positiva do comportamento de segurança. Estas métricas podem assumir a forma de métricas tradicionais de sensibilização para a segurança a partir de inquéritos e simulações de phishing, como exemplos.
Demonstra
Demonstrar a redução da exposição ao risco: mostrar à equipa Cx mudanças rastreáveis no comportamento de segurança relacionadas com resultados materiais em termos de redução da exposição ao risco cibernético.
Capturar métricas e mudanças de comportamento
A visão de segurança é o pivot sobre o qual gira a recolha de métricas e de provas comportamentais. Esta visão constitui então a prova necessária para demonstrar à equipa Cx que a formação de sensibilização para a segurança funciona. Existem muitas formas de medir as métricas de segurança e a MetaCompliance já discutiu as medições da formação em sensibilização para a segurança numa publicação anterior do blogue.
A medição fornece dados quantificáveis que servem de base para uma avaliação do retorno do investimento (ROI). Mas uma simples equação de ROI não capta o impacto positivo e contínuo de um programa de sensibilização para a segurança bem desenvolvido. A visão de segurança central de uma organização deve ser mapeada para validar os resultados finais que reduzem o risco cibernético geral de uma organização. Esta visão de uma organização segura tem de ser mapeada para que a segurança esteja em primeiro lugar e para a mudança comportamental associada.
Para ajudar no teu exercício de medição, o documento da Gartner fala de “Signature behaviours”, que descreve como “Signature behaviors are those that clearly reflect positive intent and support by end-users for realising the security awareness vision“.
A Gartner mapeia alguns exemplos de práticas de segurança desejadas em relação a comportamentos de segurança de assinatura:
Pratica: Todos os utilizadores finais utilizam palavras-passe fortes
Comportamento: Utilizamos sempre frases-chave para construir as nossas palavras-passe utilizadas para aceder às nossas contas de trabalho
Pratica: Verifica as ligações antes de clicar nelas
Comportamento: Estamos atentos e comunicamos e-mails suspeitos ao serviço de TI
Como parte da tua visão de segurança, trabalha com a tua equipa multifuncional para desenvolver um conjunto de comportamentos de assinatura que podem ser utilizados para comprovar o sucesso do programa de formação de sensibilização para a segurança.
A prova do pudim através de uma melhor segurança
Em última análise, uma empresa quer ver que o seu investimento num programa de sensibilização para a segurança se reflecte numa diminuição das hipóteses de os seus dados serem violados. Ao avaliar os comportamentos de assinatura em relação aos tipos de ameaça, uma organização pode enriquecer uma simples equação de ROI com valor acrescentado.
A prova da formação em segurança está no pudim. Com o passar do tempo, um programa de formação de sensibilização para a segurança bem planeado e eficaz irá mostrar uma redução nos ataques informáticos. Mas é com uma visão forte que tudo começa.
