Noventa por cento dos relatórios de awareness que vejo começam no mesmo sítio: a taxa de cliques em simulações de phishing. Em queda face ao período anterior, a subir, estável. É apresentada num slide com uma percentagem enorme, uma cor verde ou vermelha, e uma conclusão implícita: “estamos bem” ou “estamos mal”.
E com isto, a reunião de segurança avança.
O problema é que essa métrica, por si só, não diz quase nada sobre o estado real do teu programa de sensibilização. Segundo o Verizon DBIR 2025, cerca de 60% das violações confirmadas envolvem uma ação humana: um clique, uma chamada de engenharia social, o envio de dados para o destinatário errado. Se o risco humano continua a representar mais de metade dos incidentes, chega medir só a taxa de cliques para saber se o teu programa está a funcionar?
É como avaliar a saúde de uma pessoa a medir apenas a sua temperatura. Pode ser um dado útil, mas se é a única coisa que olhas, vais tirar conclusões perigosamente incompletas.
O que mede realmente a taxa de cliques?
A taxa de cliques mede quantos utilizadores clicaram num link dentro de uma simulação de phishing. Nada mais, nada menos.
Não mede se os utilizadores aprenderam alguma coisa. Não mede se mudaram de comportamento fora da simulação. Não mede se a tua organização está mais segura do que há seis meses. Mede uma ação pontual, num momento pontual, face a um cenário específico.
Além disso, esta métrica é extremamente sensível a fatores que não têm nada a ver com o nível de sensibilização dos teus utilizadores:
- A dificuldade da simulação. Um phishing que se faz passar pelo CEO com contexto interno vai ter mais cliques do que um genérico “atualiza a tua palavra-passe”. Se enviaste um fácil e a taxa desceu, não é porque os utilizadores melhoraram. É porque o phishing era mais óbvio.
- Os falsos positivos. Ferramentas de segurança, sandboxes e bots que interagem com os links antes dos utilizadores. Se não os filtras, as tuas métricas estão contaminadas com ruído que não representa comportamento humano.
- O momento do envio. Uma segunda às 9 da manhã não produz os mesmos resultados que uma sexta às 17h. E isso não reflete diferenças de sensibilização, mas de atenção disponível.
Há organizações que dedicam semanas a preparar a simulação perfeita e depois concentram toda a atenção nessa única métrica. É como treinar para uma maratona e medir só a velocidade do primeiro quilómetro.
Que métricas refletem uma mudança real de comportamento?
Se o que procuras é evidência de que o teu programa de awareness está a gerar uma mudança de comportamento sustentada, que é, no final, o objetivo real, precisas de olhar para um conjunto mais amplo de indicadores. Nenhum é perfeito por si só, mas combinados contam uma história muito mais completa.
Taxa de reporte de phishing. De todas as métricas disponíveis, esta é provavelmente a mais subvalorizada. Um utilizador que reporta um email suspeito está a demonstrar um comportamento ativo: não só identificou a ameaça, como fez algo em relação a ela. Isso é cultura segura em ação.
Tempo até ao primeiro reporte. Não chega que os utilizadores reportem; importa quando o fazem. Se o primeiro reporte chega nos primeiros minutos, a organização tem uma janela de reação real. Se chega três dias depois, o dano de um ataque real já estaria feito. Esta métrica mede a velocidade de resposta coletiva.
Reincidência. Os mesmos utilizadores caem uma e outra vez nas mesmas técnicas de persuasão? Ou vão melhorando com o tempo? A taxa de reincidência mostra se as ações de sensibilização estão a ter efeito sobre os utilizadores que mais precisam delas. Um programa que não move esta métrica tem um problema de design, não dos utilizadores.
Correlação entre sensibilização e simulação. Esta métrica cruza duas dimensões: o que os utilizadores sabem (avaliado através de conteúdos de sensibilização) com o que os utilizadores fazem (medido em simulações). Se um utilizador completou todos os módulos mas continua a cair nas simulações, há um gap entre conhecimento e comportamento. Se outro não completou nada mas reporta corretamente, há um viés de sobrevivência. Os relatórios de correlação permitem detetar estes padrões e agir sobre eles.
Cobertura real do programa. Que percentagem de utilizadores está realmente exposta ao programa de sensibilização? Não os que receberam um email, mas os que completaram os conteúdos e participaram nas simulações. Um programa com 95% de taxa de abertura mas 30% de conclusão tem um problema de engagement que a taxa de cliques não vai mostrar.
O erro de comparar-se com os outros
Há uma tentação frequente entre CISOs: procurar um benchmark externo para saber se a sua taxa de cliques é “normal”. Se a minha organização tem 15% e a média do setor é 20%, estou bem?
Não necessariamente. E já o analisámos antes: o benchmarking externo em awareness é, na maioria dos casos, enganador. As variáveis são demasiadas (dimensão da organização, setor, maturidade do programa, dificuldade das simulações, ferramentas de filtragem, frequência de envio) para que uma comparação direta tenha valor real.
O único benchmarking que vale é o que fazes contra ti próprio, período após período. Melhorou a taxa de reporte? Baixou a reincidência? Encurtou o tempo até ao primeiro reporte? Essas tendências internas, medidas com consistência, são as que realmente falam sobre a eficácia do teu programa.
Como montar um dashboard que conte a história completa
Se tivesse de recomendar um dashboard mínimo para apresentar à direção, incluiria estes indicadores:
- Taxa de cliques por tipo de cenário: não uma média global, mas segmentada por técnica de persuasão (urgência, autoridade, recompensa). Mostra onde estão as vulnerabilidades reais.
- Taxa de reporte e tempo até ao primeiro reporte: a métrica que demonstra comportamento ativo e capacidade de resposta.
- Reincidência: utilizadores que caem mais de uma vez no mesmo tipo de cenário. Identifica onde focar as intervenções.
- Correlação sensibilização-simulação: para mostrar se as ações de formação estão (ou não) a impactar no comportamento observável.
- Cobertura do programa: percentagem de utilizadores que efetivamente participaram, não só os alcançados.
O que deixaria de fora: médias globais sem contexto, comparações com outras organizações, e qualquer métrica que não consigas ligar a uma ação concreta de melhoria.
Plataformas como o SMARTFENSE permitem consolidar estas métricas num único sítio, a correlacionar as ações de sensibilização com os resultados de simulação e o comportamento de reporte. Isso transforma dados dispersos numa visão acionável do risco humano.
Medir bem é tão importante como sensibilizar bem
A taxa de cliques não é uma má métrica. É uma métrica incompleta. O problema aparece quando se torna a única lente com que avaliamos um programa de awareness.
Um programa maduro mede comportamentos, não só ações pontuais. Mede tendências próprias, não médias alheias. E mede o impacto das suas intervenções, não só a exposição a elas.
Se o teu próximo relatório de awareness vai começar pela taxa de cliques, pelo menos certifica-te de que não termina aí.
Deixe um comentário