🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

O guia definitivo security awareness para 2026

Sobre a NIS2

Este é um guia SUPER detalhado security awareness para 2026.

Neste novo artigo, vais ficar a saber mais sobre:

  • A importância de security awareness
  • Os diferentes tipos de formação security awareness
  • As melhores formas de fazer com que a tua organização participe
  • Como é que as marcas holandesas de renome formam os seus empregados

Vamos mergulhar de cabeça.

O que é a formação security awareness ?

Security awareness A formação em segurança é uma formação que prepara o pessoal para reconhecer e evitar as ciberameaças que podem encontrar no trabalho ou na sua vida pessoal. Um bom programa de formação em segurança sensibiliza para questões como phishing, software malicioso (malware), engenharia social e outros perigos do mundo digital.

Security awareness A formação pode abranger políticas específicas ou quadros regulamentares, como a HIPAA, ou pode ser mais geral. A formação pode assumir muitas formas, desde uma aula de atualização anual até à aprendizagem contínua ministrada regularmente.

Porque é que a formação security awareness é tão importante?

Até 95% de todas as invasões e fugas de dados são causadas por erro humano. Desde clicar numa ligação phishing até à utilização de palavras-passe fracas - os erros cometidos por seres humanos estão frequentemente na origem do cibercrime. É por isso que é tão importante dar formação aos teus funcionários para que aprendam a reconhecer e a denunciar ameaças informáticas.

A importância da formação security awareness tem sido um tema quente desde há alguns anos. Nem todos os profissionais de segurança a consideram necessária, pois acreditam que o erro humano não pode ser excluído. Acredita nas medidas tecnológicas para garantir a segurança mesmo quando ocorrem erros humanos.

Na Guardey, acreditamos numa combinação de ambos. Embora seja verdade que a formação não pode garantir a segurança, compreendemos que a tecnologia também não o pode fazer. Não existe nenhum filtro de spam no mundo que garanta que irá apanhar todos os e-mails phishing . Para o 1% de phishing que consegue passar pelas tuas defesas tecnológicas, queres que os teus funcionários estejam conscientes dos perigos de phishing.

Há muitas ameaças cibernéticas que não podem ser evitadas pela tecnologia. Pensa na engenharia social da vida real, em que uma pessoa entra no escritório e convence a receção de que é um empreiteiro que precisa de aceder aos servidores. Situações como esta só podem ser evitadas quando todos na tua organização têm um elevado sentido de security awareness.

Uma introdução às ciberameaças comuns

Phishing, vishing, smishing e quishing

Phishing Phishing é a utilização de mensagens de correio eletrónico para atacar um alvo. As mensagens de correio eletrónico fingem ser provenientes de alguém em quem o alvo normalmente confia, como um cliente ou colega, ou de uma entidade de confiança, como um banco ou um retalhista em linha. Por vezes, o objetivo de um e-mail é enganar o destinatário para que descarregue malware. Mais geralmente, porém, o objetivo é obter informações sensíveis, como as credenciais de início de sessão do alvo para um serviço bancário online ou informações de identificação pessoal, como o número da segurança social. phishing

Um gráfico que mostra o crescimento dos ataques de phishing ao longo dos anos.

O vishing é um ataque semelhante que usa chamadas de voz e vídeo, enquanto o smishing usa SMS e mensagens de texto. O spear phishing é um ataque dirigido a uma pessoa específica, como um executivo de topo ou alguém com acesso aos sistemas de TI. Nestes casos, o hacker costuma recorrer à engenharia social para fazer com que o alvo acredite que a mensagem é autêntica. O quishing refere-se ao uso de códigos QR que levam os alvos a visitar sites maliciosos ou a transferir dinheiro diretamente para os criminosos.

Malware

O malware é um software malicioso que é disseminado por cibercriminosos. Pode infetar computadores individuais e outros dispositivos, ou redes inteiras. Existem muitos tipos diferentes de malware. Eis alguns exemplos:

Vírus

Os vírus são programas auto-replicantes concebidos para causar danos a um sistema, eliminando dados ou introduzindo outras vulnerabilidades que podem ser exploradas.

Cavalos de Troia

Os cavalos de Troia são programas que se disfarçam de software legítimo, mas que causam danos a um sistema. Os cavalos de Troia escondem-se frequentemente sem serem detectados nos sistemas informáticos durante um longo período de tempo, roubando informações e enviando-as para os criminosos informáticos. Um tipo comum de cavalo de Troia é um keylogger. Este regista todas as teclas introduzidas num computador infetado, revelando potencialmente palavras-passe e outras informações sensíveis. Estas informações podem depois ser utilizadas para outros crimes, como o roubo de dados e de identidade.

Ransomware

Outro tipo comum de malware é o ransomware. O ransomware é um malware concebido para obter um resgate da vítima. Normalmente, o ransomware encripta todos os ficheiros num sistema ou rede de computadores e depois solicita um resgate à vítima em troca dos meios para os desencriptar.

Os resgates exigidos são frequentemente muito elevados, por vezes muito mais do que a vítima alguma vez poderá pagar. Mesmo que o resgate seja pago, não há garantia de que o atacante forneça as chaves de desencriptação. Em muitos casos, os ficheiros encriptados são perdidos para sempre. Nos últimos anos, têm-se registado muitos ataques de ransomware de grande visibilidade, como o ataque de 2023 ao Serviço Nacional de Saúde do Reino Unido.

O ransomware está a aumentar a nível internacional, com a dimensão dos pagamentos de resgate a aumentar.

Pagamentos de resgate por trimestre

Sítios Web maliciosos

Os sites maliciosos, também conhecidos como sites de ataque, são sites que alojam código malicioso com a intenção de enganar os utilizadores para que o descarreguem para os seus dispositivos. Em alguns casos, os sítios de ataque são criados para este fim específico. Noutros, um site legítimo é sequestrado por cibercriminosos que depois inserem nele código malicioso. Alguns sites, chamados sites de ataque drive-by, nem sequer exigem que a vítima clique numa ligação de descarregamento ou interaja de qualquer forma - basta visitar o site para infetar um sistema que esteja mal protegido.

Os sites maliciosos também podem imitar sites de confiança para enganar os utilizadores e levá-los a introduzir as suas credenciais de início de sessão, permitindo que os criminosos tenham acesso às contas das vítimas.

Ataques USB

Os suportes amovíveis, como as unidades USB, podem ser facilmente utilizados como vetor de código malicioso. Nalguns casos, um criminoso pode obter acesso físico aos dispositivos de uma organização; mais habitualmente, os atacantes deixam as unidades USB infectadas onde os funcionários incautos as podem encontrar.

É trivial para um atacante adquirir uma unidade USB adornada com o logótipo da organização alvo, ou de outra entidade de confiança, como um cliente ou fornecedor regular, e deixá-la perto das instalações onde será recolhida. Confia que funcionários curiosos ou prestáveis liguem a unidade USB a um dos computadores da rede da organização para verificar o seu conteúdo. Uma vez ligada, a unidade infetada pode depositar o seu payload de malware.

De notar que qualquer dispositivo capaz de armazenar dados pode ser utilizado para este tipo de ataque, incluindo leitores de MP3, câmaras digitais e smartphones. Um exemplo recente é o Sogu, uma campanha de ciberespionagem assistida por USB que visa vários sectores.

Todos estes ataques podem ser devastadores para uma organização. Podes minimizar as probabilidades de ser atingido por um ataque como este com uma formação adequada em security awareness para funcionários e proprietários de empresas. Quando o pessoal de uma organização está ciente dos riscos e de como evitá-los, deixa de ser um ponto de falha e passa a ser uma firewall humana.

E a lista continua

As ameaças cibernéticas acima mencionadas são algumas das mais prevalecentes, mas os cibercriminosos têm muitos métodos para roubar dados valiosos. À medida que o tempo avança, os seus métodos melhoram e são mais difíceis de detetar por um olho destreinado. Especialmente com a IA em ascensão, os diferentes tipos de ciberameaças parecem ilimitados.

Os diferentes tipos de formação security awareness

Existem várias formas de formar os teus empregados. De seguida, apresentamos-te algumas das mais utilizadas.

Cursos anuais

Muitas organizações ainda dependem de cursos de formação anuais para preparar o seu pessoal para lidar com as ciberameaças. A formação anual dos funcionários em security awareness tem dois problemas principais. Em primeiro lugar, o panorama das ameaças digitais está em constante mudança. Estão sempre a surgir novas ameaças, e não apenas uma vez por ano, pelo que a formação anual fica rapidamente desactualizada.

Uma visualização da curva de esquecimento

Em segundo lugar, as pessoas simplesmente não retêm informação durante um ano inteiro. Mesmo o aluno mais atento não se lembrará de tudo o que aprendeu durante mais do que alguns meses. Esta deterioração do conhecimento significa que os conhecimentos do pessoal se tornarão inevitavelmente menos abrangentes ao longo do tempo, tornando-os menos eficazes na prevenção de riscos.

Formação em sala de aula

A formação em sala de aula tem algumas vantagens em relação a outros métodos de ensino. Cria um ambiente livre de distrações, onde os alunos podem concentrar-se nos tópicos específicos que precisam de compreender e interiorizar. No entanto, o treinamento em sala de aula tem desvantagens significativas. Os formandos têm de ser afastados de outras actividades, o que significa que ou ficam para trás nas tarefas de trabalho ou abdicam do seu tempo livre.

Formação em sala de aula

A formação em sala de aula também impõe aos alunos um modelo de tamanho único, com alguns alunos a sentirem-se aborrecidos ou sem desafios e outros a ficarem confusos com os novos tópicos.

Aprendizagem eletrónica tradicional

O e-learning tradicional tenta replicar a aprendizagem em sala de aula num ambiente remoto. As aulas são dadas através de uma plataforma como o Canvas ou o Moodle, utilizando diapositivos e outros meios de comunicação. Normalmente, há palestras, pré-gravadas ou apresentadas ao vivo por um instrutor. Embora o e-learning tradicional seja mais flexível e escalável do que a aprendizagem em sala de aula, tem alguns dos mesmos inconvenientes. A aprendizagem tende a ser passiva, com uma interatividade limitada e um envolvimento ou retenção abaixo da média.

Formação gamificada

A formação gamificada security awareness oferecida por fornecedores como a Guardey é uma solução moderna. É semelhante à abordagem adoptada por aplicações de aprendizagem de línguas como o Duolingo. Em vez de lhes ser apresentada uma grande quantidade de informação uma vez por ano, ou como aulas discretas com interação limitada, os formandos recebem um fluxo constante de formações curtas e facilmente digeríveis.

Exemplo de um desafio de sensibilização Guardey phishing

Com o Guardey, os utilizadores recebem um desafio semanal que demora cerca de 3 minutos a concluir. Durante um desafio, aprendem sobre ameaças cibernéticas como phishing, malware, palavras-passe fracas e IA. Se tiverem um bom desempenho durante os desafios, podem marcar pontos para a tabela de classificação da organização. A competição amigável entre colegas provou manter os utilizadores envolvidos.

Ao gamificar a experiência de aprendizagem, os utilizadores ficam intrinsecamente motivados para continuar a aparecer. Quer seja para chegar ao primeiro lugar da tabela de classificação, continuar a sua série de semanas consecutivas jogadas ou simplesmente para melhorar a sua própria pontuação.

Como fazer com que a tua organização adira à formação security awareness

Decidiste que a aprendizagem gamificada é a solução ideal para as necessidades de formação em segurança da tua organização. Encontraste alguns produtos excelentes que satisfazem todos os teus requisitos. Agora vem a parte difícil: persuadir a tua organização a adotar uma nova solução de formação.

As pessoas podem estar relutantes em mergulhar na formação de segurança gamificada por várias razões. Terás de responder a muitas perguntas. O que é security awareness? Como é que beneficia a organização? As pessoas que já passaram por uma aula anual de cibersegurança podem achar que não têm nada a ganhar com a formação contínua. Os gestores e executivos podem pensar que os seus funcionários são demasiado perspicazes para se deixarem enganar por um e-mail phishing ou por uma misteriosa pen drive no parque de estacionamento. Aqui estão algumas ideias que podem ajudar a persuadir as pessoas e a fazê-las aderir.

Organiza uma semana security awareness : um evento security awareness divertido e envolvente pode ajudar a entusiasmar as pessoas com a cibersegurança e a quererem saber mais.

Faça uma phishing spear phishing : uma phishing realista phishing spear phishing que visa pessoas importantes pode ajudar a mostrar que qualquer pessoa na sua organização pode estar vulnerável.

Recruta um orador convidado: Um orador especializado pode ajudar a convencer as pessoas do teu ponto de vista de forma mais eficaz do que uma informação abstrata. Pode ser uma vítima de cibercrime, um perito em segurança ou mesmo um hacker ético de "chapéu branco".

Como é que as organizações holandesas estão a formar security awareness

Eis alguns exemplos de organizações holandesas que implementaram com êxito a formação security awareness para os seus empregados.

EyeOn

A equipa da Eyeon

EyeOn é um especialista em previsão e planeamento, que ajuda empresas internacionais a gerir os desafios da cadeia de fornecimento. A EyeOn é responsável por uma grande quantidade de dados das empresas suas clientes, que têm de ser tratados de forma segura. Adoptou uma solução de formação em cibersegurança gamificada para se certificar de que o seu pessoal estava à altura do desafio e para alinhar a sua segurança com os requisitos da certificação ISO27001.

Introduziram o novo programa de formação entre os funcionários com aquilo a que chamaram uma semana security awareness . Começámos todos os dias com uma entrevista de 15 minutos, a que chamámos de "catch-up" de segurança. Cada dia tinha um tema específico. O primeiro chamava-se "da secretária ao destino". Tratava-se de medidas de segurança durante as viagens, como a utilização de um ecrã de segurança, o armazenamento seguro do teu computador portátil, etc. Outro tema era sobre dados confidenciais, a que chamámos "como não te meteres em problemas com a SEC".

Priore

O edifício de escritórios da Priore

A Priore oferece serviços de contabilidade e consultoria fiscal. Com a responsabilidade pelas informações financeiras sensíveis dos clientes, a cibersegurança é vital para eles. A Priore queria manter sempre um elevado nível de security awareness entre o seu pessoal. Foi por isso que mudaram de um curso anual de cibersegurança para uma solução que proporcionasse uma aprendizagem contínua: Guardey.

"80% da organização começou imediatamente a participar ativamente após o primeiro e-mail de apresentação. Passado um mês ou dois, todos, com exceção de 1 ou 2 pessoas, estavam a utilizar o Guardey todas as semanas. Tudo isto se deveu à motivação intrínseca e à compreensão da importância de security awareness. Não há incentivos como um prémio mensal ou qualquer outra coisa, por isso ainda podemos tentar isso se a participação abrandar."

Konot

KONOT

KONOT é uma fundação educativa que fornece educação através de 22 escolas primárias holandesas. A organização precisava de uma solução de formação security awareness que a alinhasse com o RGPD. Tendo já sido alvo de vários ciberataques falhados, a KONOT precisava de um produto de formação que mantivesse o seu pessoal informado e consciente em todos os momentos. Adoptaram o Guardey para oferecer formação e avaliação contínuas e garantir a consistência security awareness.

A KONOT lançou recentemente o Guardey e os primeiros comentários dos utilizadores estão agora a chegar. "Os primeiros comentários que recebemos são entusiásticos. O Guardey tornou-os realmente competitivos, o que é um bom sinal", diz Martijn. "É muito acessível, o que eu aprecio. Alguns poucos estavam menos entusiasmados com o conceito de sensibilização para a formação antes de começarmos, mas vamos avaliá-los em breve." Frieda continua: "Não sou uma jogadora de todo, mas também reparei que estava sempre a aceitar novos desafios. É muito fácil passar pelas perguntas".

Vinhos Delta

Delta Wines é uma empresa grossista de vinhos. Quando o seu fornecedor de seguros sublinhou a importância da formação security awareness e a futura diretiva NIS2, o CEO da Delta Wines tomou medidas. Para que todos aderissem, foi efectuada uma simulação em phishing que constituiu uma valiosa chamada de atenção para muitas pessoas. Depois de muitos funcionários terem sido enganados pelo e-mail convincente, mostraram-se muito receptivos a uma formação adicional.

"Estamos a receber muitos comentários positivos. Muitos empregados começam imediatamente a jogar o novo desafio semanal assim que recebem o e-mail a dizer que está pronto. Alguns deles ficam seriamente desiludidos quando erram uma pergunta. Já deu início a várias discussões internas sobre segurança, o que é ótimo."

Marca de roupa de marca em Amesterdão

Gezamenlijke Brandweer Amsterdam (Bombeiros Unidos de Amesterdão) é um importante corpo de bombeiros, encarregado de responder a incidentes numa zona industrial de Amesterdão. Se um corpo de bombeiros for vítima de um ciberataque, os resultados podem ser catastróficos. O departamento também precisava de cumprir os requisitos NIS2. O líder da equipa, Raymond Pikee, queria uma solução de formação recorrente que fosse divertida e envolvente.

Na tabela de classificação, os bombeiros podem ver como se estão a sair em comparação com os colegas, o que aumenta a competição interna. "Somos um grupo competitivo, por isso é um toque agradável. Estes elementos de gamificação tornam divertido jogar Guardey, o que também nos ajuda a recordar a informação."

Como começar a implementar a formação security awareness

Agora que compreendes as bases da formação security awareness , podes começar a pesquisar um fornecedor de formação que melhor se adapte aos teus desejos.

Na Guardey, oferecemos uma formação gamificada em security awareness que se concentra em manter os utilizadores envolvidos durante longos períodos de tempo. Ao utilizar uma tabela de classificação, conquistas, hot streaks e outros elementos de gamificação, os utilizadores têm uma sensação de competição amigável que aumenta a participação.

Inicia um teste gratuito de 14 dias

Experimenta gratuitamente a plataforma de formação gamificada security awareness da Guardey.

Inicia o teste gratuito
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada