S.Labs
Durante anos, os programas de Security Awareness Training evoluíram significativamente, obtendo resultados relevantes na sensibilização dos colaboradores para os riscos de cibersegurança.
Por Marcelo Rodrigues, Partner, PwC . 11/12/2025
|
Contudo, quando ocorre um incidente real, os colaboradores muitas vezes não reagem como seria esperado. O conhecimento teórico não se traduz em ação eficaz sob pressão. O Problema da Formação TradicionalUma investigação publicada na revista Science concluiu que a aprendizagem passiva (ler ou reler material) resulta em apenas 36% de retenção após uma semana. Em contraste, aprendizagem por prática ativa de recordação e aplicação atinge 80% de retenção (Karpicke & Roediger, 2008). Ou seja, o problema não é falta de conhecimento, mas sim falta de experiência prática. Saber que não se deve clicar em links suspeitos é diferente de reconhecer um ataque sofisticado dirigido especificamente à nossa função. Conhecer o procedimento de resposta a incidentes é diferente de o executar quando o CEO está a pressionar por respostas e os serviços críticos de negócio não podem ser prestados aos clientes dado que os sistemas estão indisponíveis. Segundo o Global Digital Trust Insights, as organizações estão a priorizar o uso de Inteligência Artificial Generativa para deteção de malware e phishing. No entanto, o fator humano permanece crítico e a melhor IA não vai detetar todas as tentativas de ataque nem compensar decisões erradas tomadas por humanos sob pressão em equipas menos preparadas. Tabletop Exercises: Aprendizagem através da práticaAntes de mais, importa reiterar: os exercícios tabletop não substituem o security awareness training tradicional. Os colaboradores precisam de conhecer os conceitos fundamentais de cibersegurança. Contudo, o contrário é altamente perigoso – assumir que apenas formação teórica prepara uma organização para responder a um incidente real. Os exercícios tabletop complementam o security awareness training tradicional de forma crítica: transformam conhecimento passivo em competência ativa. Em vez de apenas transmitir informação, colocam os participantes dentro do cenário de ataque, forçando-os a aplicar o que aprenderam, tomar decisões sob pressão, comunicar eficazmente e lidar com as consequências das suas escolhas. Uma sessão típica deve reunir participantes de diferentes departamentos críticos da instituição e pode envolver elementos com diferentes níveis de responsabilidades. Exercícios que envolvem elementos da Administração são usualmente muito profícuos dado que os principais decision-makers estão presentes. Em alguns casos, o exercício inicia-se com um prólogo imersivo utilizando sistemas de realidade virtual, colocando os participantes "dentro" do cenário de ataque. Esta abordagem capta imediatamente a atenção dos envolvidos e estabelece o tom de urgência e realismo que caracterizará toda a sessão. Em seguida, o facilitador dá continuidade à apresentação do cenário, identificando várias fases, como por exemplo: Etapa 1: "São 08h30 de terça-feira e os colaboradores não conseguem aceder ao software de faturação da empresa. O que fazem?" Etapa 2: “Pelas 09h15, a equipa de IT descobre uma nota de ransomware e os backups estão encriptados. Que decisões tomam agora?" O exercício por etapas continua, escalando a complexidade e conjugando outros fatores/ decisões relevantes para a tomada de decisão, incluindo a reação a notícias públicas sobre o ataque, dúvidas sobre comunicação a stakeholders chave ou envolvimento das autoridades. As Vantagens TransformadorasQuando um colaborador experiência uma simulação, está a aprender por prática ativa de recordação e aplicação, e essa lição fica gravada de forma que nenhum vídeo consegue. A experiência cria memória muscular organizacional. Os exercícios tabletops revelam invariavelmente lacunas que ninguém tinha considerado: "Quem tem autoridade para desligar os sistemas de produção?", "Quem pode dar ordem para cortar a ligação à internet?”. Diferentes departamentos descobrem como as suas decisões e ações se interligam. Equipas de Comunicação / Relações-Públicas entendem que não podem fazer comunicações públicas antes da equipa de IT avaliar a extensão do impacto do ataque. A equipa de IT compreende as ramificações legais dos sistemas estarem indisponíveis. A equipa de Legal entende a pressão operacional sobre o negócio. E esta compreensão mútua é inestimável durante crises reais. Para muitos colaboradores, a cibersegurança é uma "caixa negra" gerida pela função de IT e pela função de segurança da informação, e da exclusiva responsabilidade destes. Os exercícios tabletop democratizam o conhecimento, mostrando que todos têm um papel e que as suas decisões importam. As metodologias estão a evoluir. Algumas organizações, incluindo a PwC, estão a integrar realidade virtual nos programas que administram de formação avançada, criando ambientes híbridos onde participantes vivenciam visualmente os cenários enquanto tomam decisões colaborativas. Esta combinação potencializa ainda mais a retenção e o impacto. ROI MensurávelAo contrário da perceção comum, o ROI dos exercícios tabletop é mensurável através de múltiplos indicadores: Tempo de resposta: Organizações que realizam exercícios tabletop regularmente demonstram capacidade superior para identificar, escalar e conter incidentes comparado com organizações que dependem apenas de formação teórica. Melhoria de processos: Cada sessão revela lacunas concretas em procedimentos, canais de comunicação, cadeias de decisão e coordenação interdepartamental. Estas descobertas traduzem-se em melhorias processuais. Preparação organizacional: A diferença torna-se visível quando ocorre um incidente real onde as equipas que praticaram, respondem com clareza, seguem protocolos e coordenam-se eficazmente, enquanto equipas não preparadas perdem tempo crítico em confusão e indecisão. Engagement e retenção: Os exercícios tabletop criam momentos de aprendizagem memoráveis. Participantes recordam-se das discussões, dos dilemas enfrentados e das decisões tomadas de forma que jamais recordariam através de um módulo de e-learning. ConclusãoA teoria tem o seu lugar, mas a simulação transforma conhecimento em competência. Não podemos preparar pessoas apenas com apresentações, vídeos e e-learning. Os exercícios tabletop representam o complemento e a evolução necessária de informar para capacitar, de ensinar para treinar. Quando a próxima crise chegar, a diferença entre uma organização que simula e uma que apenas informa pode ser a diferença entre resiliência e calamidade.
Conteúdo co-produzido pela MediaNext e pela PwC |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
S.LABS
Automação: scripts, SOAR e Agentic AI
S.LABS
SOAR: Transformando caos em automação na cibersegurança moderna
S.LABS
SOC: o motor de ciberesiliência das organizações
S.LABS
Turning Data into Defense: The Strategic Power of CTI and Threat Hunting in Incident Response
S.LABS
Da sala de aula para a sala de guerra: A evolução do awareness training
