No nosso último artigo, apresentamos o CBT e CBA como alternativas viáveis para treinamentos e capacitações que envolvam temas relacionados à Segurança da Informação em ambientes corporativos.
Mas que dados sustentam a eficácia desses métodos?
Algumas métricas como custo, satisfação e engajamento podem ajudar nessa avaliação. Existem diversos estudos que analisam essas métricas, como veremos a seguir.
O primeiro deles, já apresentado no artigo anterior, se concentrou em buscar na literatura acadêmica métricas que justifiquem o uso dos métodos CBT em um mercado específico – no caso, o de treinamentos para profissionais da saúde.
De acordo com o estudo “Use and Effect of Computer-Based Training in Health Care”, desenvolvido pela Quality Assurance Project, há uma redução significativa nos custos de entrega de um treinamento CBT. Além de praticamente eliminar os gastos com pessoal (instrutores, monitores) e com estrutura de salas de aula, esse tipo de treinamento reduz o tempo dedicado às aulas.
“Uma pesquisa registrou redução de 34% no tempo dedicado aos estudos em cursos superiores que usaram CBT, e de 24% em cursos de educação para adultos que usaram CBT. Um estudo mais antigo (de 1977) já demonstrava redução de 30% no tempo necessário para atingir os objetivos de instrução em treinamentos militares”.
O estudo traz ainda informações que comprovam que, além de reduzir o tempo gasto no aprendizado, os CBT também reduzem os custos.
“O custo reduz na proporção do número de estudantes usando programas de CBT, enquanto os custos com treinamento em sala de aula aumentam conforme aumenta o número de alunos”.
Os autores citam ainda um outro trabalho, de 1994, que afirma que os custos com CBT, já naquela época, poderiam ser cinco vezes menor do que os de métodos tradicionais de estudo em laboratório, sem afetar as notas dos alunos.
A satisfação dos participantes de cursos e treinamentos CBT e avaliações CBA para com esses métodos foi o foco dos dois próximos trabalhos feitos pelo grupo.
O primeiro deles, “Satisfaction with web-based training in an integrated healthcare delivery network” demonstrou que entres quase 18 mil profissionais da área de saúde que realizaram um treinamento CBT:
“75% se mostraram muito satisfeitos, com 65% preferindo os treinamentos via web do que os treinamentos tradicionais, conduzidos por instrutores”.
Outro dado interessante é que não houve variação causada por dados demográficos como gênero, idade e nível de escolaridade nesses percentuais.
Outra métrica, apresentada no artigo “A Comparisson of Computer-Based Training and Traditional Classroom Training”, é a percepção que os participantes do treinamento têm do quanto eles aprenderam.
O trabalho concluiu que 94% dos estudantes que concluíram um CBT sentiam ter aprendido o mesmo ou mais do que aprenderiam se o mesmo curso fosse conduzido em uma sala de aula. Do total, 70% indicou que faria outros cursos online e 45% manifestou o desejo de estudar apenas online dali em diante.
Um bom exemplo de CBT e CBA aplicado a ambientes corporativos no Brasil é o El Pescador, plataforma de treinamento para empresas que querem educar seus colaboradores a não clicar em e-mails maliciosos.
O treinamento consiste em submeter as pessoas a um cenário real de phishing, aplicado ao seu cotidiano.
Quando uma empresa contrata o El Pescador, é feita uma intensa pesquisa para identificar os seus hábitos corporativos: como é feita a comunicação com os colaboradores? Qual a linguagem usada? Que tipos de elementos gráficos compõe mensagens trocadas entre departamentos? Que eventos ou iniciativas estão acontecendo? Que assuntos estão entre os mais discutidos?
Toda essa informação servirá para elaborar uma mensagem falsa, exclusiva para esse cliente, construída para se aproximar tanto quanto possível de uma mensagem comum recebida cotidianamente durante o expediente.
A seguir, a empresa fornece ao El Pescador uma lista dos colaboradores que irão participar do treinamento. Cada um deles receberá o email falso sem aviso prévio, nenhum deles deve ter qualquer conhecimento a respeito da campanha.
O email falso convida o destinatário a clicar em um link para mais informações a respeito do email, exatamente como aconteceria em uma situação de phishing.
Aqui temos a primeira métrica. Quanto mais pessoas clicarem no link, maior a necessidade de treinamento de conscientização.
Separamos dois casos reais que trazem dados a respeito desse treinamento. Vamos chamá-los de Empresa A e Empresa B.
Na Empresa A, uma campanha foi iniciada há poucos dias. Ao todo, foram enviados emails para 1084 participantes. Destes, 843 visualizaram o email, ou seja, abriram a mensagem. Dos que abriram a o email, 631 participantes clicaram no link do phishing.
Já na empresa B – cuja campanha aconteceu há mais tempo – foram inscritos 2538 participantes. Destes, 2131 abriram o email. Destes, 1648 clicaram no link.
Dados do dashboard da Empresa A apontaram que 458 pessoas completaram o treinamento. Ou seja, a taxa de usuários treinados foi de 72.6%, dos 631 participantes que caíram no phishing.
Já no dashboard da Empresa B, as métricas indicam que 1201 usuários finalizaram o treinamento, o equivalente a 73% das 1648 pessoas fisgadas pelo phishing.
É óbvio que, quanto maior o número de pessoas que clicaram no phishing e chegaram ao final do treinamento, maior o número de pessoas treinadas e maior o sucesso da campanha. Este trabalho de avaliação e treinamento contra phishing é fundamental para reforçar a segurança de uma empresa.
Com a plataforma do El Pescador, é possível identificar quais os usuários não realizaram o treinamento e convidá-los a aprender sobre o assunto, tornando-se menos suscetível a este tipo de ataque.
El Pescador, a primeira plataforma de Phishing do Brasil, utiliza técnicas sofisticadas de engenharia social na criação de campanhas e dispensa o uso de templates convencionais ao testar ambientes corporativos. Solicite uma demonstração de El Pescador clicando aqui.
