Há um inimigo de que quase não falamos quando montamos um programa de sensibilização, e é o tédio. Uma formação que aborrece não se retém, e o que não se retém não nos protege no dia em que aparece um email estranho. O curso anual arrasta esse problema de nascença. Concentra tudo numa sessão longa, a pessoa fá-la, passa (e o certificado vai direto para uma pasta que ninguém volta a abrir) e segue com o seu dia. Meses depois, quando faz mesmo falta, dessa sessão não resta quase nada.
A culpa não é de ninguém. A memória funciona assim. Guarda o que revemos e larga o que viu uma só vez, por mais completo que fosse o material. E aqui está a parte que costumamos saltar. O que sustenta uma boa decisão de segurança é quanto do que aprendemos continua fresco no segundo em que é preciso decidir, e meses depois de uma única sessão de fresco não resta muito. Para que algo continue à mão, é preciso voltar a tocar-lhe.
É esta a ideia da microaprendizagem. Em vez de apostar tudo numa grande sessão, distribui a aprendizagem em pequenas peças ao longo do tempo, para que o tema nunca arrefeça por completo.
O que é a microaprendizagem em cibersegurança?
A microaprendizagem é uma forma de ensinar em peças curtas e autónomas, um vídeo de dois minutos, uma banda desenhada de uma página, um lembrete de três linhas, distribuídas no tempo em vez de amontoar tudo numa jornada longa. Cada peça vai atrás de uma só ideia e entra na janela de atenção que uma pessoa tem de verdade, não na que imaginamos que nos vai reservar.
A diferença face à formação de sempre não está no tema nem na qualidade do material. Está no ritmo. Um mesmo conteúdo sobre phishing pode viver como um módulo de quarenta minutos visto uma vez, ou como uma dúzia de lembretes curtos distribuídos ao longo do ano. O segundo ensina o mesmo, mas de um modo que a memória consegue sustentar.
E há uma razão prática para preferir o curto. Uma peça curta pode ser mesmo consumida; um módulo de quarenta minutos compete contra toda a agenda do dia e essa luta perde-a muitas vezes. Trabalhamos com a atenção repartida por mil separadores e com pouco tempo seguido para algo que não seja urgente. Uma peça que respeita esse contexto entra. Uma que o ignora fecha-se ao fim de dois minutos, com ou sem certificado.
Porque é que a formação anual não muda o comportamento?
Há mais de um século, o psicólogo Hermann Ebbinghaus descreveu a curva do esquecimento. Sem revisões, o que aprendemos cai depressa nos dias e semanas que se seguem, e cai com força. Uma formação anual entrega todo o seu valor num pico e depois deixa que a curva faça o resto. Quando chega o email malicioso, a base que levantámos naquele curso já ruiu.
Há uma segunda razão, e é mais incómoda. Uma investigação sobre formação anti-phishing integrada apresentada na ACM CCS 2024 (Lain et al.) encontrou algo incómodo para quem aposta tudo no material. O que torna eficaz essa intervenção é o seu efeito de lembrete, o aviso periódico de que a ameaça continua ali, mais do que o conteúdo em si, que quase ninguém chega a consumir por falta de tempo. Os autores dizem-no sem rodeios, o phishing é um problema de atenção antes de ser de conhecimento. Um curso longo uma vez por ano trava a batalha errada, porque tenta acrescentar conhecimento quando o que falta é presença.
E há uma armadilha que convém nomear. A formação anual passa a auditoria, arquiva o certificado e oferece-nos a sensação de tarefa cumprida. Cumpre com o papel. Mas o papel e o comportamento são coisas distintas, e pode ter-se todo o pessoal formado e, meses mais tarde, uma taxa de cliques igualmente alta, simplesmente porque o que assinámos há meio ano não está presente no segundo que importa.
Como é que o gotejamento contínuo vence a curva do esquecimento?
A psicologia da aprendizagem tem uma resposta antiga e bem estudada para o esquecimento, o efeito de espaçamento. Retemos melhor quando voltamos a uma ideia em momentos separados do que quando a engolimos toda de uma vez. A microaprendizagem pega nesse princípio e torna-o a estrutura do programa. Em vez de um pico anual, uma série de contactos curtos que reacendem o tema antes de ele se apagar.
Esse gotejamento faz duas coisas ao mesmo tempo. Reforça o que foi aprendido em cada revisão e mantém a ameaça presente, que é exatamente o efeito de lembrete que a investigação aponta como o verdadeiro motor da mudança. Quando o phishing, o ransomware ou a boa gestão de palavras-passe aparecem com frequência e leves, deixam de ser uma memória distante e passam a fazer parte da paisagem mental da pessoa.
Com o tempo, isso treina um reflexo. Em vez de explicar os sinais de um email suspeito uma só vez, um programa pode voltar ao tema a cada poucas semanas e por ângulos diferentes, uma banda desenhada que mostra um caso, mais adiante um vídeo que desmonta um remetente falso, depois uma simulação que põe à prova o que foi aprendido. É o mesmo conteúdo central, visto três vezes com semanas pelo meio, e é essa distância que fixa o hábito.
Quanto conteúdo, e de quanto em quanto, sem saturar as pessoas?
Aqui está o erro que transforma uma boa ideia numa má experiência. Contínuo não quer dizer constante. Se o gotejamento se transforma numa enxurrada de mensagens soltas, o cérebro faz o que sabe fazer melhor, deixa de as ver. É a mesma cegueira que temos com os banners, onde o que se repete sem consequência se torna invisível, e atrás dessa cegueira vem a fadiga, aquele ponto em que mais um lembrete é mais um incómodo.
Dosear bem é o verdadeiro trabalho. Tem a ver com a cadência, um ritmo que acompanha sem sobrecarregar, e com a relevância, dar a cada pessoa o que lhe toca conforme o seu papel, o seu nível e o que já viu. O percurso de quem trabalha em finanças não se parece com o de um perfil técnico, e tratá-los de igual modo gasta a atenção de ambos. A microssegmentação das pessoas é o que permite que o gotejamento seja pertinente e não uma mensagem genérica para todos.
Na prática isto assenta em duas coisas. Um catálogo pensado em formatos curtos, bandas desenhadas, vídeos e newsletters, que já nascem para serem consumidos depressa, e uma programação de campanhas que distribui essas peças ao longo do ano em vez de as amontoar. Na plataforma da SMARTFENSE, essa entrega planeada e segmentada é o que sustenta um programa de sensibilização contínua sem cair na saturação. O formato pesa tanto como a frequência, e por isso vale a pena escolher que formato serve para que comportamento antes de montar o calendário.
Microaprendizagem e o momento certo
O gotejamento constrói a base, mas há um instante que nenhuma série de conteúdos planeados consegue cobrir, o segundo exato em que alguém está prestes a clicar em algo duvidoso. Esse vazio é preenchido pelo nudge, aquele empurrão que chega no momento certo, desencadeado pelo que a pessoa acabou de fazer e não pelo calendário.
Convém vê-los como duas camadas do mesmo programa. A microaprendizagem trabalha no fundo, constante e silenciosa, para que o tema nunca se apague por completo. O nudge intervém a quente, quando a decisão ainda está em aberto. E quando algo corre mal na mesma, o momento educativo que se segue ao erro é, no fundo, mais uma pílula curta que chega quando a pessoa está mais recetiva. Os três partilham a mesma lógica, pouco conteúdo, muitas vezes, no momento oportuno.
Como se vê num programa real
Um bom programa de microaprendizagem nota-se em quão presente o tema fica ao longo do ano. É esse o número que importa, mais do que a pilha de horas de formação acumuladas. Em vez de um evento anual e onze meses de silêncio, há um fluxo constante de peças curtas, ajustado a cada grupo de pessoas, com nudges a aparecer nos momentos de risco e reforços que fixam o que se acabou de aprender.
Num programa assim, a pessoa volta a cruzar-se com o tema a cada poucas semanas e por ângulos diferentes. Uma banda desenhada mostra-lhe um caso, mais adiante um vídeo curto desmonta um remetente falso e, mais tarde, uma simulação põe à prova o que aprendeu e explica-lhe no momento o que a denunciou. Quando por fim aparece um email criado para a enganar, o reflexo de verificar remetente, urgência e ligação já está treinado, porque o reviu há pouco e não num curso distante. É esta a diferença entre saber algo e tê-lo à mão.
No fim voltamos ao mesmo ponto. O tédio continua a ser o buraco de segurança de que quase ninguém fala, e nenhuma sessão anual o tapa. Tapa-o estar presente, um pouco, muitas vezes, mesmo quando faz falta. Se quiser ver como se organiza esse fluxo contínuo na prática, pode explorar as ferramentas da plataforma ou os recursos de sensibilização, que já estão pensados numa lógica de gotejamento e não de fartura.
Deixe um comentário