Uma mudança crítica está ocorrendo - a forma como as organizações abordam o treinamento e a conscientização sobre segurança. Os métodos tradicionais de gerenciamento estão dando lugar a um estilo de liderança mais contemporâneo que enfatiza a confiança e a autonomia, em vez de regras rígidas e controle de todos os aspectos diários do trabalho.
As organizações estão adotando a importância da segurança psicológica. Entendemos como é fundamental que os funcionários experimentem coisas novas, assumam riscos e cometam erros. Sem assumir riscos e cometer erros, as organizações ficam estagnadas. Essa mudança agora está se refletindo na forma como as organizações modernas optam por criar os próprios seus programas e controles de treinamento em segurança.
Por que é hora de parar de “gerenciar o risco humano”
Quando falamos sobre a abordagem tradicional de “gerenciamento de risco humano” para o treinamento de segurança, geralmente vamos contra todos os princípios da liderança contemporânea. Monitoramos os funcionários, traçamos o perfil deles e tentamos “incentivá-los” a mudar seu comportamento com base em regras como “não clicar em links suspeitos”. Falamos sobre “cultura de segurança”, mas o que realmente queremos dizer é “as pessoas seguem nossas regras mesmo quando não as estamos monitorando”. Essa abordagem corrói a segurança psicológica e está mais próxima da aplicação da lei do que do apoio ao aprendizado.
No modelo tradicional de “gerenciamento de riscos humanos”:
-
Plataformas de Treinamento Usuários de Perfil: Os funcionários são classificados de acordo com o perfil de risco com base em seu desempenho no treinamento, o que pode criar uma cultura de julgamento e medo.
-
O treinamento é direcionado com base no perfil: Os funcionários recebem treinamento com base na forma como são categorizados, o que pode não estar alinhado com seu nível real de habilidades ou necessidades de aprendizado.
- Treinamento baseado em regras: O treinamento geralmente se resume a uma lista de coisas a fazer e a não fazer, limitando o desenvolvimento de habilidades de pensamento crítico.
-
Foco em testes contínuos por meio de simulações de ataques: Em vez de abordar as questões cotidianas de segurança cibernética e privacidade que os funcionários enfrentam, o foco está em testar as habilidades dos funcionários por meio de simulações de ataques. Embora a maioria dos incidentes de segurança seja causada por erro humano, apenas uma minoria desses incidentes envolve de fato um ataque ativo. Veja O que fazer e o que não fazer em simulações de phishing para ler mais sobre as consequências negativas das simulações de ataques contínuos.
As plataformas de gerenciamento de riscos humanos levam a equipe de segurança a ter uma falsa sensação de controle e os funcionários a se sentirem pouco responsáveis pela segurança. Uma verdadeira cultura de segurança, em que os funcionários se sintam preparados e apoiados para tomar decisões informadas e gerenciar os riscos de segurança nas suas próprias funções, requer uma cultura de aprendizado e segurança psicológica.
Como é o treinamento de segurança que apoia uma cultura de aprendizado?
Não se trata exatamente de 'rocket science'. O treinamento moderno em segurança baseia-se na capacitação dos funcionários, que começa com o controle de sua jornada de aprendizagem. No CyberCoach, os usuários podem personalizar sua própria experiência e estilo de aprendizagem.
1. Treinamento Anônimo, Psicologicamente Seguro
Em um ambiente psicologicamente seguro, os funcionários são incentivados a assumir riscos, compartilhar ideias e admitir erros sem medo de repercussões. A CyberCoach adota esse ethos ao oferecer treinamento e suporte anônimos, permitindo que os indivíduos aprendam e façam perguntas sem a preocupação de que seu desempenho esteja vinculado à sua identidade.
2. Incentivar o Pensamento Crítico e a Autoeficácia
A educação vai além de regras e listas de verificação. O treinamento da CyberCoach incentiva o pensamento crítico e reforça a autoeficácia dos funcionários. Em vez de fazer e não fazer coisas rígidas, ele capacita os indivíduos a tomar decisões informadas com base em um profundo entendimento dos riscos.
3. Treinamento de competências relevantes para a função
A segurança cibernética não é um produto único. O CyberCoach oferece treinamento de habilidades relevantes para a função, direcionado especificamente com base nas funções dos funcionários dentro da organização. Isso garante que o treinamento esteja alinhado com suas responsabilidades diárias, tornando-o altamente prático e acionável.
O treinamento moderno em segurança pode ser um game-changer para a promoção de uma cultura de aprendizado contínuo e segurança psicológica
As plataformas modernas de treinamento em segurança, como a CyberCoach, permitem que os funcionários assumam o controle de seu aprendizado, façam escolhas informadas e colaborem de forma eficiente para reduzir os riscos. Ao adotar essa abordagem, as organizações podem se afastar do paradigma limitador de apenas gerenciar o risco humano para realmente motivar todos a proteger a organização.