Imaginemos uma cena que se repete todos os anos em milhares de organizações. Um colaborador abre o módulo obrigatório de sensibilização. Lê que o phishing é perigoso, que é preciso verificar o remetente, que nunca se partilham palavras-passe. Passa para o slide seguinte. Aparece um vídeo de três minutos. Outro slide. Um quiz com quatro opções, três obviamente erradas. Marca a resposta certa em vinte segundos, recebe o certificado e volta ao trabalho.
Na segunda-feira seguinte, às nove da manhã, recebe um email que diz “fatura vencida – ação imediata”. Clica. Não é que não soubesse o que era phishing. Tinha-o visto na sexta-feira. É que nunca tinha praticado a decisão de não clicar num contexto real.
Esta é a lacuna silenciosa da sensibilização tradicional. Um programa pode cumprir as horas, passar na auditoria e, ao mesmo tempo, deixar o comportamento dos colaboradores exatamente onde estava. Para fechar essa lacuna é preciso uma mudança que não está no conteúdo, mas em como este é apresentado. É aí que entram os slides interativos.
Porque é que o e-learning tradicional em cibersegurança não muda comportamentos?
Daniel Kahneman descreveu dois sistemas de pensamento: um Sistema 1 rápido, automático e emocional, e um Sistema 2 lento, deliberado e analítico. As decisões críticas em cibersegurança acontecem quase sempre no Sistema 1. Quando chega o email urgente, quando toca o telefone com uma voz conhecida, quando aparece o botão vermelho a pedir uma ação imediata, o cérebro não está a analisar sinais com calma. Está a reagir.
O problema é que o e-learning clássico treina o Sistema 2. Leitura, vídeo, quiz de escolha múltipla. Todo esse conteúdo é processado no modo lento do cérebro: aquele que intervém quando há tempo para pensar. E na segunda-feira de manhã, perante um email suspeito, não é esse o modo que decide.
O resultado é conhecido: os programas informam sobre os riscos, mas as respostas automáticas não mudam. Cumpre-se o requisito regulamentar; não se reduz o risco real.
Aprender fazendo, não lendo
A diferença entre informar e treinar é a mesma que entre ler um manual de navegação e subir a um veleiro. Uma pessoa pode saber de cor a teoria dos nós e, quando a corda está nas suas mãos com vento de través, não saber por onde começar. O cérebro aprende a decidir no contexto onde vai ter de decidir.
É isto que procura um módulo de sensibilização bem desenhado: reproduzir o cenário, não descrevê-lo. O colaborador não lê o que é um email fraudulento: olha para ele, analisa-o, marca os sinais. Não ouve o que fazer perante um incidente de ransomware: vê o ecrã vermelho, sente a pressão do relógio, decide o primeiro passo.
Quando a prática acontece no contexto, o treino fica guardado no sistema que depois vai reagir. É o mesmo princípio que qualquer disciplina séria aplica: os pilotos treinam em simuladores, não em livros de texto. A sensibilização em cibersegurança merece o mesmo nível de exigência didática.
Variedade que sustenta a atenção
O outro inimigo do e-learning tradicional é a previsibilidade. Quando o terceiro slide se parece com o segundo, e o quarto com o terceiro, o cérebro entra em piloto automático: lê sem ler, clica sem olhar, espera pelo próximo ecrã. A aprendizagem desliga-se antes de chegar ao quiz final.
Quebrar essa inércia requer uma variedade real de formatos. Não mudar a cor de fundo. Mudar o tipo de atividade mental que se pede ao utilizador. Um slide põe o colaborador a identificar sinais num email. O seguinte pede-lhe que classifique informação como confidencial ou pública. O que vem a seguir leva-o a uma cena de escritório virtual a detetar riscos físicos. Cada ecrã ativa um processo cognitivo diferente.
A curiosidade mantém-se porque o utilizador não sabe o que vem a seguir. E essa curiosidade, como tenho explorado noutros artigos sobre aprendizagem baseada em jogos e ludificação aplicada à sensibilização, é exatamente o estado mental em que o cérebro fixa novas aprendizagens. Sem curiosidade, não há memória de longo prazo.
Feedback que acompanha, e não que julga
Há uma decisão de tom nos módulos interativos que parece pequena e não é: como se fala com o utilizador quando ele se engana.
A reação instintiva de muitos desenhos é marcar o erro com vermelho, um ponto de exclamação e uma frase corretiva. “Erro. Deves reportar sempre as tentativas de phishing.” Parece firme e didático, mas produz o efeito contrário ao pretendido: aumenta a ansiedade da aprendizagem e reduz a disposição para tentar. O utilizador aprende que enganar-se dói, não que enganar-se ensina.
A alternativa é reconhecer primeiro o que se fez bem. Se alguém desligou uma chamada suspeita mas não a reportou, o feedback útil não é “esqueceste-te”. É: “desligaste a chamada, isso foi bem feito. O passo que falta é reportá-la à equipa de TI”. A mensagem é a mesma; a marca emocional é diferente. Numa, o erro fecha a porta. Na outra, deixa-a aberta.
Este princípio, acompanhar em vez de julgar, está no centro dos momentos educativos e dos nudges, as intervenções curtas que moldam comportamentos sem os confrontar. A sensibilização não é um exame. É um processo de construção de cultura, e a cultura não se constrói com reprimendas.
Três momentos de treino, contados como experiência
A melhor forma de mostrar como muda o e-learning interativo é contar o que o colaborador vive em frente ao ecrã. Escolhemos três cenas da nova biblioteca de slides interativos da SMARTFENSE, desenhada com mais de quarenta recursos e vinte e seis tipos diferentes de interação.
Simulador de incidente: ransomware. Aparece um ecrã preto com uma mensagem a vermelho: “Os teus ficheiros foram cifrados!”. Um relógio de contagem decrescente começa em trinta e três segundos. Por baixo, uma pergunta simples: qual é a tua PRIMEIRA ação?. Quatro opções, algumas plausíveis, uma correta. O colaborador tem de decidir sob a mesma pressão temporal que sentiria no momento real do ataque. A resposta correta não se aprende em abstrato. Treina-se onde vai ser necessária.
Alojamento real ou gerado com IA? Aparece uma fotografia de uma sala ampla, com um sofá cinzento, uma prancha de surf na parede e um par de plantas. Dois botões por baixo: real ou gerado com IA. Depois outra imagem. Depois um áudio. Depois um vídeo. O colaborador treina o olho e o ouvido para uma ameaça que há três anos não existia: a fraude com conteúdo sintético, usada hoje tanto em burlas imobiliárias como em imitação de voz de familiares.
Chat de engenharia social. Abre-se uma interface de mensagens. O atacante começa amigável, quase inocente. Uma mensagem, duas mensagens, cinco mensagens. O colaborador responde linha a linha e vê como uma conversa comum escala até se tornar um pedido específico de informação confidencial. O que um ponto descreveria como “os atacantes manipulam a confiança ao longo do tempo” torna-se uma experiência concreta: a confiança, de facto, constrói-se em pequenos passos. E a aprendizagem instala-se noutra parte do cérebro.
O que muda quando a sensibilização deixa de ser uma formalidade
Um programa de sensibilização deixa de ser uma formalidade quando os colaboradores conseguem contar o que aprenderam na segunda-feira de manhã, e não quantas horas acumularam no final do ano. Para chegar a esse resultado, o conteúdo não chega. É preciso uma forma de o apresentar que ative o Sistema 1, sustente a atenção e transforme cada erro numa porta aberta.
Para a organização, a mudança também se mede no reporting. Quando cada slide interativo regista desempenho granular (que sinais de phishing passaram despercebidos, em que ponto se cortou a conversa de engenharia social, quantas vezes o utilizador confundiu conteúdo gerado com IA com conteúdo real), o responsável de segurança tem informação utilizável, não apenas um “módulo concluído”. Passa de saber que as pessoas fizeram o curso a saber o que não aprenderam e onde intervir. E essa diferença, como discutimos ao falar de como medir o que importa num programa de awareness, é a que separa os programas que se apresentam bem em auditoria dos que efetivamente reduzem o risco.
O convite é simples: experimentar em primeira pessoa a nova biblioteca de slides interativos dentro da SMARTFENSE e ver o que muda quando o e-learning deixa de pedir atenção e começa a pedir decisões.
Deixe um comentário