Anualmente, diversas empresas investem parte considerável de seus orçamentos na realização de treinamentos voltados para segurança digital e conscientização de seus colaboradores. Mas será que o simples investimento, por maior que seja, é suficiente para atingir os resultados desejados? Aliás, como saber se esses resultados foram alcançados?
Na busca pela manutenção de um ambiente corporativo digital ético e seguro, empresas têm adotado uma série de medidas para aumentar a conscientização de seus colaboradores e possibilitar a vivência de experiências práticas que os preparem para situações envolvendo segurança cibernética.
Para além de garantir a melhor utilização das ferramentas digitais, essas ações também possuem a função de direcionar as companhias para a conformidade com as legislações que estimulam – ou impõem – a adoção de medidas que garantem direitos relacionados ao ambiente digital, à exemplo da Lei Geral de Proteção de Dados e do Marco Civil da Internet.
Nesse cenário, destacam-se medidas como a realização de treinamentos, simulações de incidentes, workshops e sessões de conscientização, que, muitas vezes, são elaboradas e conduzidas por terceiros com expertise nas temáticas.
No entanto, nem toda ação é suficientemente eficaz para desenvolver os colaboradores de determinada organização. Isso pode acontecer em razão de: i) a medida escolhida não ser a mais indicada para habilidade ou conhecimento que se desejava apresentar; ii) a medida aplicada não ser personalizada para a realidade da organização; iii) a pessoa responsável por conduzir a ação não estar preparada para exercer esse papel; e/ou iv) os colaboradores não serem adequadamente engajados.
Ocorre que, do ponto de vista financeiro e de gestão, empresas precisam ser capazes de avaliar o Retorno Sobre o Investimento (ROI) de treinamentos e outras medidas educativas para que possam fazer escolhas mais assertivas a partir do entendimento de quais ações geraram mais resultados e quais instrutores foram mais competentes em suas atribuições, evitando, assim, desperdício de recursos com ações ineficazes.
Nesse sentido, convém apontar que medidas ineficazes colaboram com a crença de que o tempo investido em treinamentos possui pouca utilidade e poderia ser usado em outras demandas de caráter comercial ou operacional. Ademais, a ineficácia de medidas que objetivam conferir maior segurança digital para as rotinas da organização colabora para que seus integrantes permaneçam despreparados para lidar com eventuais ameaças cibernéticas, o que facilita a ação de hackers e outros tipos de invasores, o que pode comprometer informações essenciais para o negócio.
A título de exemplo, em 2015, a Anthem, uma das maiores companhias de seguro-saúde dos Estados Unidos, sofreu um dos piores ataques hackers do setor em virtude de um e-mail phishing aberto por um funcionário que não estava preparado para lidar com a ameaça1. Em razão do ocorrido, a empresa foi condenada a pagar 115 milhões de dólares aos titulares dos dados vazados. Além do dano financeiro, a imagem da seguradora ficou abalada frente ao mercado.
Por fim, a necessidade de as empresas medirem os resultados de ações educativas deriva, ainda, do dever de ser capaz de demonstrar a adoção de medidas de segurança, treinamento e conscientização de colaboradores em matérias como proteção de dados e segurança da informação2. Para fins de compliance, não basta que a companhia contrate ferramentas de tecnologia supermodernas e caras, ainda que eficazes. Ela precisa ser capaz de demonstrar que as ações foram realizadas e que os seus resultados foram positivos.
Diante de todos os aspectos expostos, resta clara a importância de que os resultados decorrentes de treinamentos de colaboradores sejam mensurados de forma adequada. Trazemos a seguir algumas práticas que devem ser levadas em consideração para uma melhor aferição dos resultados.
É fundamental que sejam definidos objetivos específicos para o treinamento, e que a organização estabeleça métricas claras e mensuráveis para avaliar em qual nível o objetivo foi atingido. Para tanto, é importante que essas métricas reflitam os objetivos estipulados. Se uma organização pretende capacitar seus colaboradores para que saibam como lidar com ameaças cibernéticas, por exemplo, a quantidade de incidentes registrados nos períodos de um ano antes e depois do treinamento pode ser um indicador relevante de seu sucesso ou fracasso.
Após a realização do treinamento, faz-se pertinente coletar feedbacks dos participantes, de modo a possibilitar a medição da satisfação geral e entender pontos de melhoria a partir da percepção daqueles que foram submetidos à dinâmica. Além disso, indicadores como taxa de adesão e taxa de evasão também são relevantes para um melhor entendimento da percepção do público em relação ao conteúdo ministrado e ao engajamento.
Para medir a evolução das habilidades e o conhecimento efetivamente obtido, convém realizar testes de aprendizagem periódicos. Aqui, é interessante que seja adotada uma abordagem mais leve, com a incorporação de jogos e elementos interativos que tornam a experiência mais agradável e estimulante. Nessa etapa, também é relevante que os resultados sejam registrados e avaliados para fins de identificação de pontos de melhoria, bem como para eventual indicação de quem precisa ser submetido a ações de reciclagem de conhecimento.
Para avaliar as mudanças comportamentais decorrentes do treinamento promovido, a realização de simulações periódicas é uma medida eficaz. Em um contexto em que se busque promover um ambiente de maior segurança digital, exercícios de tabletop simulando uma tentativa de ataque cibernético direcionado à organização é uma ótima forma de avaliar o impacto dos treinamentos na conduta de colaboradores em situações práticas.
Em síntese, pode-se resumir as etapas para medição dos resultados da seguinte forma: i) definição de objetivos e métricas; ii) desenvolvimento e aplicação do treinamento; iii) medição e registro de percepção do público submetido ao treinamento; iv) aplicação de testes de aprendizado dinâmicos e interativos, com o devido registro dos resultados e tomada de providências necessárias; v) realização de simulações para avaliar o resultado do treinamento em situações práticas; e vi) avaliação e monitoramento dos resultados gerais para direcionamento das próximas ações.
Assim, direcionar as próximas ações com base nos resultados obtidos ajuda a otimizar os investimentos em treinamentos e promover um ambiente corporativo seguro e preparado para lidar com os desafios da segurança digital.
______________
1 GREGO, Maurício. Hackers roubam milhões de senhas de seguradora. Exame, 5 de fevereiro de 2015. Disponível em: https://exame.com/tecnologia/hackers-roubam-milhoes-de-senhas-de-seguradora/. Acesso em: 26 de julho de 2023.
2 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 26 de julho de 2023.