A formação dos colaboradores em matéria de proteção da informação continua a ser um elemento fundamental para mitigar os riscos informáticos no ambiente corporativo. No entanto, o surgimento de novas ferramentas tecnológicas revelou certas lacunas na preparação dos quadros de pessoal. Os dados recolhidos na edição de 2025 do estudo sobre sensibilização e formação em cibersegurança da empresa Fortinet (baseado em consultas realizadas a cerca de dois mil responsáveis por tecnologia e segurança a nível global) detalham como as empresas enfrentam estes novos desafios e as deficiências organizacionais que ainda persistem.
Historicamente, os ataques externos têm motivado o principal investimento em planos de formação. Atualmente, mais de 40% das entidades inquiridas reconhecem que os incidentes anteriores ou as vulnerabilidades sofridas por outras empresas do mesmo setor económico são o principal motor para ampliar a formação dos seus colaboradores. No entanto, o estudo aponta uma mudança de tendência relevante, ao mostrar que os riscos de origem interna assumem uma importância crescente. Mais de um quarto das empresas já aponta as ameaças provenientes do interior da própria organização como um motivo determinante para implementar programas de formação, uma proporção que registou um crescimento notável no último período analisado.
A utilização de modelos de inteligência artificial por parte de agentes maliciosos aumentou a inquietação no tecido empresarial. Cerca de 90% das organizações confirmam que as ameaças baseadas nestas novas tecnologias aumentaram a perceção dos funcionários sobre a necessidade de receber formação. Paradoxalmente, este aumento da sensibilização não garante uma capacidade de resposta eficaz face aos incidentes. Apenas 40% dos responsáveis pela segurança consideram que o seu pessoal possui a preparação adequada para detetar e notificar ataques orquestrados por IA.
Para mitigar esta situação, as empresas estão a intensificar a formação sobre a utilização segura de soluções de geração de conteúdo automatizado, prestando especial atenção ao controlo da informação confidencial. Praticamente todo o tecido empresarial já dispõe de regulamentos internos relativos à utilização destas ferramentas ou encontra-se em fase de implementação, embora o desafio resida na aplicação uniforme dessas diretrizes. Esta necessidade de adaptação também alterou os programas dos cursos, onde a proteção de dados partilha agora a prioridade com os riscos decorrentes da utilização dos diferentes modelos de linguagem.
Apesar dos desafios emergentes, os resultados da formação corporativa são quantificáveis e objetivos. Dois terços das empresas afirmam ter alcançado uma redução, entre moderada e significativa, das falhas de segurança e das intrusões após a implementação de planos de sensibilização. Para avaliar este impacto, os departamentos técnicos deixaram de lado as suposições básicas para se concentrarem em parâmetros mensuráveis, avaliando a diminuição real dos incidentes, as opiniões recolhidas diretamente junto dos próprios trabalhadores e os diagnósticos exatos extraídos das auditorias aos sistemas corporativos. Esta medição é complementada pela combinação de aulas presenciais, módulos telemáticos e simulações práticas, configurando estratégias destinadas a mudar os hábitos a longo prazo, em vez de transmitir conhecimentos de forma isolada.
O principal obstáculo para alcançar a plena eficácia destas iniciativas reside nos baixos índices de participação. Uma proporção reduzida de empresas consegue que a totalidade do seu quadro de pessoal conclua os cursos exigidos, o que leva a que quase 70% dos responsáveis pela segurança classifiquem como insuficiente o nível geral de conhecimentos dos seus trabalhadores. Para corrigir esta deficiência, os especialistas recomendam exigir responsabilidades na conclusão dos programas e transitar para formatos educativos mais concisos e frequentes. As sessões formativas periódicas revelam-se um método ideal para manter os conhecimentos atualizados, especialmente face à rápida mutação das ameaças na rede.
Por fim, constata-se uma transformação gradual na cultura corporativa no que diz respeito à proteção dos ativos digitais. A maioria dos gestores assume que a salvaguarda da informação deixou de ser uma tarefa exclusiva dos departamentos técnicos para se tornar uma obrigação partilhada por todas as áreas da empresa. A integração de normas corporativas que regulam comportamentos de risco, aliada a uma formação contínua e adaptada ao panorama atual, é a via através da qual o tecido empresarial procura consolidar a sua resiliência face à constante evolução do risco cibernético.