Orçamentar cibersegurança: a importância de investir na formação contínua dos colaboradores

Por: Valeria Bognibova

No panorama actual da cibersegurança, as empresas tendem a concentrar a maior parte do investimento em pessoal especializado e em soluções tecnológicas. Porém, há um factor muitas vezes subestimado: a formação regular de todos os colaboradores para que compreendam, desde o nível básico até ao avançado, os riscos e as boas práticas de cibersegurança. Na nossa experiência profissional em Angola, constatamos que programas de formação de longo prazo oferecem resultados mais sólidos do que abordagens pontuais baseadas em simples plataformas de phishing ou consciencialização, garantindo uma redução real do número de incidentes.

Diversos estudos demonstram que os utilizadores são o elo mais fraco em grande parte dos ataques cibernéticos; por exemplo, o relatório da Verizon DBIR 2023 indica que 74% das violações de dados envolvem um factor humano. No entanto, acreditamos firmemente que é o conhecimento das pessoas que proporciona a melhor protecção, e não apenas a implementação de ferramentas. Por conseguinte, apostar em programas de formação e sensibilização, em vez de iniciativas pontuais, tende a reduzir o número de incidentes e a diminuir o tempo de resposta a potenciais ameaças.

Custos versus benefícios da formação

new_cognito

Ao elaborar o orçamento de cibersegurança, deve considerar-se o custo de implementar formações regulares em comparação com as perdas potenciais resultantes de um incidente. O relatório da IBM Security2 “Cost of a Data Breach 2023” estima que o custo médio de uma violação de dados ultrapassa 4 milhões de dólares, valor que se pode agravar em caso de paralisação das operações (ransomware) ou fuga de informação sensível.

Portanto, ao incluir no orçamento uma componente de formação (por exemplo, programas de “awareness” e “phishing simulation”, mas sobretudo projectos educativos de longo prazo), a empresa pode investir na prevenção, em vez de suportar custos mais elevados de investigação e resposta a incidentes. Adicionalmente, empresas que adoptam formação contínua em cibersegurança podem registar uma redução superior a 62% nas taxas de sucesso de ataques de engenharia social (Artic Wolf3).

Angola: desafios e oportunidades

Em Angola, em particular, enfrentamos vários desafios que reforçam a necessidade de investir em formação aprofundada e de longa duração:

new_cognito

1. Elevada rotatividade de colaboradores: as constantes mudanças de pessoal obrigam a que as empresas actualizem, de forma sistemática, os novos colaboradores sobre práticas de cibersegurança.
2. Nível de maturidade em cibersegurança: o mercado local conta ainda com um número limitado de profissionais altamente especializados, resultando em lacunas na resposta a incidentes e na implementação de políticas consistentes.
3. Falta de programas de formação padronizados: não existe uma padronização nacional de cursos e formações em cibersegurança, o que conduz a abordagens díspares e, muitas vezes, a níveis de conhecimento heterogéneos entre as organizações.
4. Caminho de desenvolvimento único: apesar dos desafios, o sector tem potencial para crescer e criar soluções inovadoras adequadas à realidade local.

Na nossa experiência, programas de capacitação que vão além de simples sessões de conscientização — proporcionando um entendimento profundo dos métodos de ataque — resultam em colaboradores capazes de identificar e neutralizar ameaças, mesmo diante de cenários de ataque em constante mutação.

Estrutura de orçamento para formação em cibersegurança

Pessoal especializado 

• Considere a alocação de horas ou contratação de consultores externos para ministrar formações regulares, de acordo com o tamanho e o perfil da empresa.
• Defina as funções de TI e de segurança da informação para que incluam explicitamente a responsabilidade de partilhar conhecimentos e responder às dúvidas dos colegas (política de “porta aberta”)

Programas proativos de treino

new_cognito

• Integração de novos colaboradores: ao entrar na empresa, cada pessoa deve receber formação sobre as políticas e práticas básicas de segurança.
• Formações periódicas: organize sessões (mensais, trimestrais ou semestrais) para reforçar as directrizes, apresentar cenários reais de ataques e recordar os colaboradores das práticas recomendadas.
• Formação avançada e contínua: para além do treino de consciencialização (“awareness”), é fundamental investir em programas que proporcionem um entendimento aprofundado dos métodos de ataque. Assim, mesmo que o cenário mude, os colaboradores continuam aptos a identificar e reagir a novas ameaças.

Educação em tempo real

• Utilize sistemas que alertem automaticamente os utilizadores quando estes realizam acções potencialmente arriscadas, como o uso de aplicações não autorizadas (ex.: abrir sessões no Dropbox pessoal).
• A correcção imediata faz parte de uma formação contínua e prática: ao receber um alerta, o colaborador toma consciência do erro e adequa o seu comportamento.

Ferramentas de suporte e monitorização

• Plataformas de “Phishing Simulation”: apesar de úteis para avaliação, estas ferramentas têm resultados limitados se não forem acompanhadas de um programa educativo consistente e de longa duração.
• Soluções de investigação e detecção de ameaças internas: tecnologias como DLP (Data Loss Prevention) ou ferramentas de monitorização de comportamento de utilizadores servem de complemento à formação, mas não substituem o conhecimento aprofundado.

Retorno do Investimento (ROI) e Importância de Longo Prazo

Enquanto iniciativas esporádicas de formação podem ter algum impacto inicial, a experiência
demonstra que só programas contínuos e evolutivos geram resultados duradouros. Em países onde se adoptou uma abordagem sistemática, os estudos indicam uma redução
significativa no número de incidentes que resultam de erros humanos. Conforme mencionado, 85% das violações têm factor humano (Verizon DBIR 2023), o que sublinha a relevância de manter a formação em dia.

new_cognito

Em Angola, este investimento deve ser encarado como uma alavanca para superar as limitações de pessoal especializado. Colaboradores bem preparados conseguem identificar e reportar tentativas de phishing, ameaças de ransomware ou acessos indevidos, reduzindo a dependência de um número restrito de técnicos avançados. Mais importante do que adquirir novas ferramentas, acreditamos que o fator determinante para a segurança é o conhecimento dos utilizadores e das equipas internas.

Conclusão

Investir em formação de cibersegurança não deve ser visto como um custo secundário, mas
como um pilar essencial no orçamento global de segurança. Num mercado angolano onde a
rotatividade de pessoal e a escassez de especialistas são desafios reais, a estratégia de formação contínua — da simples sensibilização até à compreensão aprofundada de vetores de ataque — permite criar um ambiente corporativo mais resiliente e pronto para lidar com
ameaças em constante evolução.

Assim, ao planear o seu próximo orçamento de cibersegurança, lembre-se de que as
ferramentas tecnológicas e o reforço de pessoal só serão realmente eficazes se acompanhados de uma cultura permanente de segurança, sustentada em programas de formação bem estruturados e avaliados regularmente. É nas pessoas que reside a verdadeira força de defesa contra ciberataques.

new_cognito

Referências

1. Verizon Data Breach Investigations Report (DBIR) 2023 –
   https://s3.amazonaws.com/cms.ipressroom.com/354/files/20242/2023-data-breachinvestigations-report-dbir.pdf
2. IBM Security – Cost of a Data Breach 2023 – ibm.com/security/data-breach
3. Artic Wolf – State Of Cybersecurity: 2022 Trends –
   https://arcticwolf.com/resource/aw/the-state-of-cybersecurity-2022-trends
   https://arcticwolf.com/the-state-of-cybersecurity-2023-trends/
4. CYBER0. Relatórios internos e experiência em Angola