0
0
Ao optar por esse tipo de ação, os departamentos de TI esquecem que muitos funcionários estão, na realidade, ansiosos por treinamentos sobre segurança cibernética
O desenvolvimento do trabalho remoto desde o início da epidemia aumentou dramaticamente o risco de ataques de phishing. De acordo com o novo relatório Spam and Phishing, publicado pela Kaspersky, os brasileiros foram um dos principais alvos de phishing no mundo durante a pandemia: cerca de um a cada oito usuários de internet do país (12,9%) acessaram, de abril a junho de 2020, ao menos um link que direcionava a páginas maliciosas. O índice está bem acima da média mundial, de 8,26%. A luta contra o phishing é de fato um problema sério e vital para as empresas de hoje. Foi assim que a empresa norte-americana de web hosting provider GoDaddy enviou um e-mail para seus funcionários prometendo um bônus de natal de US$ 650 e pedindo que preenchessem um formulário com seus dados pessoais. Isso, na realidade, era um teste de phishing e a GoDaddy teve de pedir desculpas a suas equipes. Será que as empresas devem – com a ajuda das equipes de TI – enganar seus funcionários para lhes ensinar como lidar com ataques cibernéticos? Será que a GoDaddy (e tantos outros) estão certos em testar os funcionários, enviando-lhes e-mails de phishing falsos, a fim de identificar os mais suscetíveis a golpes? A ideia por trás desse tipo de ação é que, uma vez enganados, esses funcionários “irresponsáveis” devem passar por um treinamento obrigatório de segurança cibernética. Vários estudos mostraram que esse tipo de ação nem sempre é eficaz e pode ter consequências danosas:
1. Em vez de estarem atentos às regras de segurança, os funcionários enganados permaneceriam ou se tornariam mais vulneráveis a ataques externos.
2. O grupo de pessoas enganadas experimentaria um sentimento de vergonha e de ressentimento que poderia enfraquecer a confiança, o comprometimento com a empresa e a produtividade.
3. A frustração do grupo de colaboradores encurralados pode levá-los a não confiar mais na empresa.
De fato, os colaboradores podem enxergar esse tipo de ação como uma gestão pelo medo, que os leva a temer não só os ataques criminosos externos, mas também os ataques internos. Isso pode ser visto como uma violação da relação de confiança. O risco é que cada vez mais colaboradores adotem uma atitude de passividade ou de desconfiança que os leva a não responder a e-mails coletivos.
Além disso, esses e-mails de phishing falsos podem abordar assuntos altamente confidenciais e vitais. Por exemplo, fazer os funcionários acreditarem que devem se inscrever rapidamente em uma campanha obrigatória de triagem de coronavírus. A situação fica pior quando o nome do remetente usado pelos departamentos de TI é o do Departamento de RH da própria empresa, cuja função é proteger e ajudar os funcionários, não enganá-los.
Então, por que algumas organizações optam por enganar seus funcionários dessa forma? Sem dúvida, isso é fruto de uma visão técnica e racional do risco e de uma cientificização do trabalho. A lógica é um pouco parecida com a da vacinação: o vírus é administrado para permitir que o corpo humano se defenda. Na mesma lógica, os chamados e-mails de phishing são enviados aos funcionários para ajudá-los a se livrar de ciberataques.
Mas é acima de tudo uma história humana, uma história de doações mal feitas e mal acolhidas. Isso tem a ver em parte com os departamentos de TI: como o treinamento que eles oferecem costumam ter pouco efeito entre os funcionários, eles tentam usar táticas de choque para enganá-los e tirar essa falsa sensação de segurança. Mas o problema é que os funcionários enganados correm o risco de serem apresentados como ingênuos, imprudentes ou irresponsáveis, enquanto eles são simplesmente vítimas de falta de um treinamento que é da responsabilidade do próprio departamento de TI.
Ao optar por esse tipo de ação, os departamentos de TI esquecem que muitos funcionários estão, na realidade, ansiosos por treinamento, auxílio e suporte para saber mais sobre segurança cibernética. E, como resultado, os funcionários enganados têm menos probabilidade de ver o treinamento de segurança cibernética de TI como um passo positivo, eles vão enxergá-lo como uma sanção ou uma ameaça.
Os funcionários precisam ser apoiados por equipes de TI para se protegerem de ataques cibernéticos. As dádivas de tempo, atenção, vigilância e informações dos departamentos de TI são preciosas e valem ainda mais quando recebidas de forma espontânea. Não importa o quanto as equipes de gerenciamento estejam ansiosas para resistir melhor a ataques cibernéticos, elas devem resistir à tentação de estigmatizar os funcionários. Em vez disso, devem escolher uma dinâmica de auxílio e apoio mútuos, sem medo ou coerção, permitindo que os funcionários trabalhem com eficiência e se sintam seguros ao mesmo tempo.
* Sandrine Frémeaux é professora da Audencia Business School e Yvan BAREL, professor da Universidade de Nantes
FONTE: ÉPOCA NEGÓCIOS