Um estudo recente em UC San Diego Health levanta questões sobre a eficácia de Treinamento obrigatório de conscientização sobre phishingum comum Treinamento de segurança cibernética Método usado na América corporativa. A pesquisa, realizada mais de oito meses em 2023 com quase 20.000 funcionários, examinou se esses programas reduzem significativamente a suscetibilidade dos funcionários a ataques de phishing.
Avaliando o treinamento de conscientização sobre phishing
O estudo submeteu os funcionários a 10 campanhas de phishing simuladas Avaliar se o treinamento anual padrão melhora a capacidade de reconhecer e evitar e -mails maliciosos. Os resultados não mostraram uma queda significativa nas taxas de falha de phishing, independentemente de quando os funcionários concluíram o treinamento pela última vez.
Grant Ho, professor assistente da Universidade de Chicago e co-autor do estudo, declarou: “Isso sugere que o treinamento obrigatório de conscientização cibernética não forneceu conhecimento de segurança benéfico aos usuários”.
Principais descobertas sobre comportamento de segurança cibernética dos funcionários
- Os funcionários que concluíram o treinamento mostraram apenas pequenas melhorias, com as taxas médias de falhas em apenas 1,7%.
- Os resultados imediatos do pós-treinamento mostraram altas taxas de falha, indicando impacto limitado dos programas tradicionais de treinamento em segurança cibernética.
- O envolvimento com os módulos on-line foi baixo: mais de três quartos de funcionários gastaram menos de um minuto no material e 37-51% fecharam a página de treinamento quase imediatamente.
A HO observou que os funcionários geralmente tratam o treinamento como uma interrupção, verificando e -mails ou navegando na Web, reduzindo a retenção e a atenção.
Testando diferentes abordagens de treinamento em segurança cibernética
Os pesquisadores segmentaram os funcionários em grupos após simulações de phishing:
- Dicas gerais de segurança cibernética
- Módulos interativos de perguntas e respostas
- Briefings detalhados sobre o ataque simulado específico
- Uma combinação desses métodos
- Grupo de controle sem treinamento de acompanhamento
Perguntas e perguntas e respostas interativas produziu o maior benefício mensurável, mas somente quando os funcionários estão totalmente envolvidos. A conclusão do treinamento interativo reduziu a suscetibilidade a ataques de phishing em 19%, destacando o potencial de abordagens interativas. As baixas taxas de conclusão, no entanto, limitaram a eficácia geral.
O estudo também sugeriu que os funcionários que completam voluntariamente o treinamento já podem ter características que os tornam menos suscetíveis a ataques de phishing, levantando questões sobre treinamento versus comportamento inerente.
Implicações para a segurança cibernética corporativa
Phishing continua a representar uma grande ameaça, e confiando apenas em Treinamento de conscientização sobre phishing dos funcionários deixa as organizações vulneráveis. Os pesquisadores recomendam uma estratégia de segurança cibernética de várias camadas, combinando treinamento com ferramentas automatizadas para detectar e bloquear mensagens suspeitas antes de atingirem as caixas de entrada.
Ho concluiu,
“O treinamento como é comumente implantado não fornece proteção suficiente contra phishing por conta própria”.
