“Awareness é um serviço para as pessoas, não um teste”

Christian Reinhardt não hesita quando fala sobre o estado atual dos programas de awareness em cibersegurança: “a maioria falha tanto no conteúdo como na entrega”. Como Chief Cyber Psychologist da SoSafe, empresa especializada em soluções de security awareness e simulação de phishing, Reinhardt passa os dias a desmontar o que está errado com a forma como as organizações tentam transformar os seus colaboradores na primeira linha de defesa contra ciberameaças.

Em conversa com a IT Security durante a Web Summit 2025, Reinhardt detalhou que há um problema com o conteúdo genérico. Se um programa de formação não está adaptado à realidade do colaborador (ao seu papel, aos seus riscos específicos e ao seu dia-a-dia), simplesmente não vai sentir que é para ele. “Se alguém não viaja muito, não precisa de aprender tanto sobre segurança em viagens”, exemplifica. A solução parece óbvia, mas a implementação continua a ser rara: é preciso uma verdadeira personalização, não apenas uma segmentação superficial por departamento.

Mas há um problema mais profundo do que conteúdo desadequado: a motivação errada. “Às vezes as pessoas sentem que estão apenas a trocar trabalho por dinheiro”, diz Reinhardt sobre os colaboradores nas grandes empresas. Quando a ligação emocional à organização é fraca, apelar à segurança da empresa não funciona. A solução passa por mudar o enquadramento. “Se aprenderes isto, estás a proteger a tua vida privada, dos teus entes queridos”. Não é manipulação, diz, mas sim reconhecer que as competências de segurança têm valor além dos muros que se erguem nas empresas

A armadilha do compliance

Há uma palavra alemã que Reinhardt usa para descrever o que acontece na maioria das formações de segurança: bulimielernen. Significa que as pessoas engolem informação para passar no teste e regurgitam-na imediatamente a seguir. “As pessoas aprendem o que os professores querem que digam num exame. Fazem um bom exame, mas no dia seguinte já perderam essa informação”, diz.

É exatamente isto que acontece quando os programas de sensibilização são tratados como exercícios de compliance, onde se faz ‘check’ ao requisito e se avança para o próximo. Uma cultura de segurança real acontece para lá do compliance. Uma framework de conformidade é útil, mas se o objetivo é apenas cumprir requisitos regulatórios, o resultado será sempre formação que não muda comportamentos.

Christian Reinhardt defende que a alternativa é aquilo que chama de “incidental learning”, ou seja, aprendizagem que acontece em contexto, quando é relevante, em doses pequenas. “A melhor formação é muito curta. Módulos de dois, três, no máximo cinco minutos”, explica.

É o oposto da abordagem tradicional de sessões anuais de uma hora que ninguém quer fazer. Mas há uma razão psicológica para isto funcionar melhor: o nosso cérebro retém melhor informação quando está espaçada ao longo do tempo e quando é aplicável imediatamente.

Simulações de phishing, o momento para ensinar

Existe um paradoxo na gestão do ciber-risco. Um CISO competente avisa sobre um risco, implementa controlos para o evitar, e depois… nada acontece. Repete o processo; avisa, previne, nada acontece. “O CISO desvaloriza o seu próprio aviso”, nota o Chief Cyber Psychologist. Quando as ameaças nunca se concretizam, é difícil manter as pessoas convencidas de que o risco é real.

É aqui que entram as simulações de phishing, não como teste para punir os colaboradores, mas como a coisa mais próxima do treino prático que é possível ter sem consequências reais. Reinhardt admite sem problemas que já caiu numa simulação da própria empresa. “Não é o meu momento de maior orgulho, mas é uma aprendizagem muito boa. Nesse momento percebes que isto nos pode realmente acontecer”, partilha.

A maioria dos colaboradores que acabam por ser apanhados em ataques de phishing dizem a mesma coisa: “pensei que nunca me ia acontecer, pensava que era pouco importante, demasiado insignificante”. Mas toda a gente é um alvo. E enquanto não nos acontece, continuamos a acreditar que não vai acontecer. Até que acontece.

Medo: a motivação que não motiva

Se há uma abordagem que Christian Reinhardt condena sem reservas é a utilização do medo como motivação. A ideia de ‘se carregares nisto és despedido’ pode parecer eficaz a curto prazo, mas os efeitos secundários são nefastos para a organização.

Primeiro, há a questão da aprendizagem. O que aprendemos sob medo fica bloqueado num contexto muito específico, numa lógica de ‘fight or flight’. “Podes forçar as pessoas a aprender algo, mas não cumpriste realmente o teu trabalho. Se aprendes algo com prazer vais ter criatividade, estás aberto à informação e podes usar esse conhecimento em todas as áreas”, explica.

Um colaborador treinado com medo pode evitar carregar num tipo específico de email. Mas é pouco provável que desenvolva competências gerais sobre o tema ou a capacidade para reconhecer novas ameaças.

Pior ainda, o medo cria exatamente o comportamento que os CISO mais temem. “Muitas pessoas que carregam num email de phishing real têm tanto medo que não vão ao IT ou ao SOC dizer ‘isto acabou de me acontecer’. Paradoxalmente, as vítimas tornam-se cúmplices ao esconder o incidente”.

E quando um incidente é escondido, a janela para o conter fecha-se rapidamente.

Quando alguém se inscreve num ginásio, vai, em média, apenas três meses. Depois para porque “fica à frente do espelho e não vê resultados”. Um personal trainer mantém as pessoas no ginásio porque faz notar todas as vantagens e sucessos. O mesmo se aplica à cibersegurança

O KPI que importa

A SoSafe reporta reduções de 70% nas taxas de cliques após um ano de programa. Apesar de ser um número interessante, Reinhardt partilha que a taxa de cliques é um indicador secundário. “Para mim, o KPI que realmente se destaca é a taxa de reporte” de incidentes por parte dos colaboradores, diz.

O objetivo é ter as pessoas a reportar emails suspeitos e não apenas os emails das simulações no dia-a-dia. “Dá-te a ideia de que as pessoas estão atentas e se veem como parte do mecanismo de defesa. São a firewall humana”.

Há outro ponto sobre a métrica de taxa de cliques que muitos CISO não consideram: a taxa deve, idealmente, voltar a subir. Quando os cliques descem para um nível baixo, é altura de melhorar as simulações. “Sobem automaticamente a taxa de cliques e depois baixam novamente. Vais de um nível para o outro, tornando as pessoas cada vez mais espertas”, explica.

É o mesmo que os cibercriminosos fazem: melhorar constantemente. Os programas de awareness devem acompanhar a realidade ou arriscam a tornarem-se exercícios de preparação para as ameaças do passado.

Mais fácil dizer do que fazer

Quando alguém carrega numa simulação de phishing, já sabe que errou. “Se és uma pessoa normal, vais notar. Não faz sentido que alguém diga que erraste; é óbvio”, afirma Reinhardt.

A questão é o que acontece a seguir. Numa abordagem tradicional, há o seguimento individual, rankings de departamentos que mais carregam, emails de reprimenda. Na abordagem que Christian Reinhardt defende, o clique é tratado como um momento de aprendizagem. “Usamos o momento em que o utilizador carrega. Dizemos: ‘tens sorte, isto podia ter sido um email real e é assim que o podias ter detetado’”.

O Chief Cyber Psychologist compara o momento a um quase-acidente a conduzir. Há o susto inicial e, nos 20 minutos seguintes, “és o condutor mais atento do mundo”. O mesmo princípio é aplicado ao phishing, se não se destruir esse momento com uma punição. Reinhardt vai mais longe: não é necessário fazer um seguimento a nível individual. “Se fizeres seguimento a nível de grupo, não é preciso nomes. As pessoas vão saber que carregaram”.

Porquê o esforço de feedback positivo? A analogia que usa vem do desporto, área na qual trabalhou antes de se juntar à SoSafe. Quando alguém se inscreve num ginásio, vai, em média, apenas três meses. Depois para e, muitas vezes, continua a pagar. “A razão é que ficam frente ao espelho e acreditam que não veem resultados”, diz.

Na realidade, há vários progressos a nível cardiovascular e neuromuscular, por exemplo, mas com expectativas irrealistas de sucesso, as pessoas desistem. Um personal trainer mantém as pessoas no ginásio porque faz notar todas as vantagens e sucessos, explica. O mesmo se aplica à cibersegurança; “temos de dar às pessoas essa sensação, mostrar-lhes que estão a melhorar”.

É neste ponto que Reinhardt apresenta o que pode ser uma das melhores definições de sensibilização em cibersegurança: “para mim, awareness é um serviço para as pessoas”. Não é um teste nem é compliance; é capacitação.

Se os colaboradores nunca sentem que estão a melhorar, a aprender, a tornar-se mais competentes, vão fazer o mesmo que no ginásio: desistir e desligar. O feedback tem de mostrar progresso, não apenas o erro. “Muitas pessoas dizem que são iniciantes em tecnologia e que não conseguem competir com cibercriminosos que utilizam inteligência artificial. A verdade é que podemos. Temos de fazer com que as pessoas sejam conscientes disso”, afirma.

A campanha que correu mal

Quando Reinhardt fala sobre casos onde a abordagem falhou, há um que se destaca. Uma empresa decidiu utilizar um veículo de comunicação interna muito popular na organização para lançar uma campanha de simulação de phishing.

Os colaboradores confiavam nesse canal de comunicação, mas a organização usou-o “para fazer o que chamo de ‘trick people into clicking’. Foi visto como uma traição”, onde o canal de confiança foi utilizado como armadilha.

A empresa em questão fez controlo de danos e comunicou abertamente com os seus colaboradores: “tentámos isto, provavelmente foi excessivo, pedimos desculpa”. Depois, envolveu a equipa de marketing no desenho da campanha de awareness e transformou-os em stakeholders em vez de vítimas.

O caso, explica, ilustra um princípio importante: a confiança é o ativo mais valioso num programa de sensibilização. Quebrá-la por uma métrica de engagement é uma troca que não faz sentido.

Fora este tipo de erros, Reinhardt diz que nunca viu uma organização onde as campanhas de sensibilização não funcionassem. “Tens empresas orientadas para a segurança, digitais por natureza; aí é mais fácil. Outras são mais tradicionais com pessoas menos digitais; aí demora mais. No entanto, se encontrares a motivação certa, vemos sempre melhorias”.

Um dos casos recentes com que Reinhardt trabalhou com os chamados blue-collar workers, historicamente fora do foco dos programas de awareness em cibersegurança. “Mesmo que não tenham computador ou telefone de trabalho, ou até um email da empresa sequer, continuam digitalmente ligados de alguma forma ou têm uma porta USB algures perto deles”, diz.

‘Lock screen detective’ é um jogo offline sugerido por Reinhardt que qualquer organização pode fazer para aumentar a sensibilização em cibersegurança que tem um custo bastante baixo: cerca de dez minutos e imprimir alguns cartões

As novas gerações no local de trabalho

A geração Z está a chegar às empresas. Esta é, muito provavelmente, a primeira geração nativa digital a chegar às organizações e importa perceber se essa realidade de estar sempre ligado se traduz em mais segurança.

E se há mito que Christian Reinhardt quer combater é esse, de que a geração Z é naturalmente segura. “Cometemos o erro de pensar que, uma vez que esta geração é tão capaz de utilizar tecnologia, também tem bom senso de segurança”.

Os dados dizem o contrário. Nos testes demográficos da SoSafe, a geração mais jovem tem, por vezes, taxas de cliques mais altas do que as gerações anteriores. São, de facto, muito mais rápidos com a tecnologia, mas não são necessariamente mais seguros.

A velocidade é, na verdade, parte do problema. “Como são mais rápidos, caem em padrões. Algo que parece igual carregam”, explica. O representante da SoSafe dá um exemplo pessoal: quando vê um vídeo no YouTube, carrega para saltar o anúncio assim que possível, mas às vezes carrega tão depressa que perde bons anúncios ou produtos que até lhe poderiam interessar.

A segunda razão é mais fundamental: a perceção de risco constrói-se com experiência. “Na infância, há um determinado momento em que se cai da bicicleta e se percebe que, afinal, é perigoso e é preciso ter cuidado. Digitalmente não há essa experiência”, afirma. Falta a perceção de risco porque estamos no conforto da nossa casa.

Mas há boas notícias sobre a geração Z: assim que compreendem os riscos, a curva de aprendizagem é muito acentuada. “Vão ter formação de awareness desde o primeiro dia, o que é muito positivo”. A abordagem, no entanto, tem de ser diferente: conteúdo direto ao assunto, gamificado, que respeite os padrões de consumo de media que a geração utiliza.

Jogar enquanto se ensina

Questionado sobre o que fazer se o orçamento for limitado, Reinhardt não hesita em escolher simulações de phishing como a primeira opção de investimento neste campo. No entanto, alerta, “não é ideal fazer apenas isto”.

A segunda recomendação não custa praticamente nada: atividades offline. O exemplo que dá é simples e tem um custo bastante baixo: demora dez minutos e imprimir alguns cartões.

A ideia chama-se ‘lock screen detective’ e, basicamente, alguém procura um computador que esteja sozinho e que o seu dono deixou o ecrã desbloqueado; aí, bloqueia o ecrã e deixa um cartão que diz “és o novo lock screen detective. Bloqueia o ecrã de um computador abandonado e deixa este cartão”. Depois de algumas semanas, garante, alguém vai bater à porta a dizer que “é injusto” porque “não há ecrãs desbloqueados”. Quando esse momento chegar, a missão foi cumprida.

O valor psicológico deste tipo de exercícios é que coloca as pessoas no papel de quem ataca. “Se compreenderes como é que os atacantes pensam, vais compreender como é que se deve defender e comportar-te de maneira diferente”, garante.

Depois, há recursos gratuitos. O European Cybersecurity Month tem materiais que não têm peso no orçamento. E se o CEO continuar a dizer que não há orçamento porque não é uma prioridade, Christian Reinhardt sugere perguntar qual acha que é a prioridade para os atacantes atuais: são as empresas. “O próximo passo deve ser ir buscar mais orçamento porque é isso que vai ajudar a sobreviver enquanto empresa”.

Reinhardt não podia ser mais direto. O awareness em cibersegurança não é um nice to have; é a diferença entre uma organização que sobrevive e uma que não sobrevive. Se os executivos ainda não perceberam isso, o trabalho do CISO também inclui educá-los.