A consciencialização em cibersegurança (Cybersecurity Awareness – CSA) é hoje reconhecida como uma componente estratégica indispensável na defesa das organizações face às crescentes ameaças digitais. Mais do que uma transmissão de conhecimentos técnicos, a verdadeira eficácia da CSA reside na capacidade de provocar mudanças genuínas nas atitudes e nos comportamentos dos indivíduos que operam sistemas, processos e dados críticos.

Independentemente da dimensão da organização ou do setor de atividade, há uma questão que deve ser tomada em consideração em todos os projetos:

Como podemos medir, de forma rigorosa, o impacto real dos programas de consciencialização?

Seja numa empresa do setor financeiro a implementar campanhas internas de formação para os seus gestores de risco, seja numa PME de tecnologia a tentar reforçar as práticas seguras de utilização de dispositivos móveis, ou ainda numa entidade pública a formar os seus técnicos de sistemas de informação, a dificuldade é transversal: a ausência de métricas claras dificulta a avaliação da eficácia das ações implementadas.

Muitas vezes, os responsáveis limitam-se a medir taxas de participação nas sessões ou a distribuir materiais de sensibilização. No entanto, é evidente que números de adesão ou de visualizações não traduzem necessariamente uma melhoria comportamental nem, muito menos, uma redução efetiva do risco organizacional.

É crítico desenvolver um modelo de avaliação robusto, baseado em métricas objetivas, sistemáticas e alinhadas com as melhores práticas internacionais. Um modelo que permita:

• Avaliar não apenas o alcance das iniciativas, mas o seu verdadeiro impacto em termos de mudanças de comportamento;
• Assegurar a sustentabilidade dos programas, integrando-os nas práticas e políticas internas das organizações;
• Medir a acessibilidade e a eficácia na comunicação das mensagens;
• Implementar mecanismos contínuos de monitorização e melhoria baseada em dados concretos.

Assim, apoiado na análise de literatura especializada, devemos conseguir ter uma abordagem baseada na adaptação dos quatro indicadores do European Literacy Policy Network (ELINET): impacto, sustentabilidade, acessibilidade e monitorização. Esta estrutura oferece às organizações uma ferramenta estratégica para medir, analisar e melhorar continuamente os seus programas de consciencialização, permitindo-lhes construir culturas organizacionais verdadeiramente resilientes à ameaça cibernética.

Fatores Avaliados

Através da revisão sistemática da literatura, foram identificados vários fatores considerados críticos para a avaliação da eficácia dos programas de CSA. Destacam-se:

1 - Conhecimento, Atitude e Comportamento (KAB)

O conhecimento refere-se à familiaridade dos indivíduos com normas, procedimentos, leis e boas práticas de segurança. A atitude diz respeito às crenças e perceções individuais relativamente à importância da cibersegurança. O comportamento manifesta-se nas ações práticas dos utilizadores em resposta a ameaças, refletindo a internalização dos conhecimentos e atitudes.

O modelo KAB é amplamente aceite, realçando que não basta transmitir informação: é necessário influenciar positivamente a atitude e promover mudanças comportamentais efetivas. A avaliação de programas deve, portanto, medir estas três dimensões de forma integrada, utilizando instrumentos validados como o Human Aspects of Information Security Questionnaire (HAIS-Q) e o Security Behavior Intentions Scale (SeBIS).

2 - Usabilidade

A eficácia dos programas de CSA depende da relevância dos tópicos abordados, da qualidade do conteúdo e da adequação dos métodos de disseminação às características do público-alvo. A análise da usabilidade permite aferir se o programa é percebido como útil, pertinente e aplicável e se os formatos de entrega favorecem a aprendizagem e a retenção do conhecimento.

A avaliação deve considerar não só a adequação dos temas, mas também a clareza da apresentação, a eficácia da comunicação e a capacidade de engagement dos materiais utilizados.

3- Interesse

O interesse dos participantes, dos organizadores e dos patrocinadores é um indicador importante da vitalidade e sustentabilidade do programa. Um elevado interesse manifesta-se, por exemplo, na participação voluntária em ações de formação, na procura de recursos adicionais, na continuidade do apoio financeiro e na integração do programa nas prioridades estratégicas da organização.

A medição do interesse pode ser feita através de inquéritos de satisfação, observação de comportamentos durante as sessões e análise da adesão a iniciativas de sensibilização.

4 - Valor Acrescentado

Avaliar o valor acrescentado de um programa de CSA implica medir os benefícios económicos (redução de incidentes, diminuição de custos de resposta) e não económicos (melhoria da reputação, aumento da confiança dos clientes e parceiros). Uma análise custo-benefício bem conduzida justifica o investimento em programas de consciencialização e contribui para a sua continuidade.

Em ambientes organizacionais, indicadores como a redução de incidentes humanos, a menor vulnerabilidade em auditorias e o feedback positivo de stakeholders podem ser utilizados para medir este valor.

5 - Acessibilidade

A acessibilidade refere-se à capacidade do programa em alcançar o público-alvo. Uma informação acessível, mas que não gera interesse ou mudança não cumpre o seu propósito. Assim, é fundamental medir a penetração das campanhas e a qualidade da receção da mensagem.

Instrumentos de avaliação podem incluir análise de dados de acesso a plataformas de e-learning, visualizações de conteúdos, download de materiais e níveis de interação dos participantes.

Desenvolvimento de Métricas

O desenvolvimento das métricas foi orientado pela adaptação dos quatro indicadores do modelo ELINET para o contexto específico da cibersegurança:

Impacto

O impacto é medido através da mudança efetiva nos níveis de conhecimento, atitude e comportamento dos participantes. Utilizam-se inquéritos estandardizados, testes práticos e simulações de ataques controlados (por exemplo, campanhas de phishing simuladas) para aferir estas mudanças. A avaliação do impacto deve ser realizada antes e depois das ações de sensibilização, de forma a identificar ganhos efetivos e não meramente percecionados.

2 - Sustentabilidade

A sustentabilidade de um programa refere-se à sua capacidade de se manter e evoluir no tempo. Isto implica a integração dos princípios de cibersegurança nas políticas e práticas organizacionais, a disponibilização contínua de recursos e a renovação periódica dos conteúdos de formação. A sustentabilidade também pode ser medida pela consistência do apoio da gestão de topo e pela incorporação de métricas de CSA nos indicadores-chave de desempenho da organização.

3 - Acessibilidade

A acessibilidade mede o alcance do programa, ou seja, se a informação chega ao público certo de forma eficaz. Indicadores comuns incluem a taxa de participação nas sessões, o número de acessos aos materiais digitais, a abrangência geográfica ou organizacional, e a diversidade dos públicos atingidos.

4 – Monitorização e Controlo

A monitorização envolve a recolha contínua de dados que permitam avaliar a evolução dos programas de CSA ao longo do tempo. Pode incluir indicadores como a redução sustentada do número de incidentes, o aumento do report de incidentes suspeitos, a evolução positiva nos testes de conhecimento e a melhoria do feedback dos participantes.

Idealmente, a monitorização deve ser automatizada, sempre que possível, e complementada com métodos qualitativos como entrevistas e grupos focais para captar aspetos menos quantificáveis.

Conclusão

A avaliação de programas de consciencialização em cibersegurança é ainda um domínio carente de abordagens normalizadas e sistemáticas. Muitas organizações continuam a basear-se em métricas superficiais que pouco dizem sobre a eficácia real das suas ações.

Este estudo propõe uma abordagem estruturada, baseada em quatro dimensões críticas (impacto, sustentabilidade, acessibilidade e monitorização), capaz de proporcionar uma avaliação completa, rigorosa e replicável dos programas de CSA. A utilização de métricas claras, quantificáveis e adaptadas ao contexto específico de cada organização permitirá não só medir resultados de forma mais fiável, mas também identificar oportunidades de melhoria e justificar o investimento contínuo em sensibilização.

Reconhece-se, contudo, que os critérios de sucesso e os benchmarks devem ser definidos em função do contexto, dos objetivos e das características do público-alvo. A avaliação deve ser encarada como um processo interativo e dinâmico, fundamental para a construção de uma cultura organizacional sólida em cibersegurança.

Onde pode saber e aprender mais sobre o tema?

A NOVA FCT disponibiliza uma pós-graduação dedicada à consciencialização em cibersegurança e à avaliação do impacto de programas de sensibilização. A formação articula base científica e prática profissional, sendo lecionada por docentes com experiência nos setores público e privado e tem coordenação de Orlando Fontan, autor deste artigo. O objetivo é capacitar participantes para conceber, implementar e medir iniciativas de segurança digital com rigor metodológico.