TREINAMENTO SEM SE ABORRECER: Gamificação do treinamento

O mercado de ciber-segurança continua a crescer de forma constante. Praticamente todas as semanas há novos casos de vazamento de dados, empresas atacadas por resgates e novos TTPs (Táticas, Técnicas e Procedimentos) que aumentam a necessidade de as organizações treinarem seu pessoal para estarem preparadas contra eventos inesperados. O problema subjacente é que novas situações nos levam ao reino do imprevisível, e aí as capacidades operacionais perdem eficácia.

Como lidar com o imprevisível?

A resposta a isto é simples, mas sua aplicação não é. Simplificando, o truque não é se concentrar em prever, mas em estar preparado. Da mesma forma, em vez de nos prepararmos para levantar uma carga pesada um dia, treinamos todos os nossos músculos para levantar qualquer tipo de carga, a qualquer dia. Mas, claro, a preparação para coisas que não conhecemos parece incompatível com as tarefas operacionais da tecnologia e dos negócios, que operam no domínio do conhecido. Por esta razão, muitas organizações em busca de inovação constante estão se voltando para o treinamento e o coaching com base em novas dinâmicas para facilitar o tratamento de situações críticas onde uma decisão pode afetar a continuidade dos negócios, ou trazer grandes problemas que não tinham sido contemplados. Isto se aplica principalmente às equipes de resposta a incidentes (CSIRT) e equipes de tecnologia, mas também ao pessoal não técnico que faz parte da resposta em diferentes níveis (imprensa, jurídico, comunicação, etc.).

O que é a ludificação do treinamento?

A gamificação é o uso da mecânica do jogo em ambientes que não são jogos, a fim de praticar o pensamento crítico e testar a si mesmo em situações simuladas e controladas, o que gera uma melhor interação entre as pessoas e uma melhor atitude, porque afinal de contas, quem não gosta de jogar um pouco? Entretanto, isto não é tão simples quanto incluir dinâmicas lúdicas; estudos acadêmicos indicam que melhores designs podem ser obtidos a partir de mais pesquisas científicas, portanto, uma abordagem leve pode nos deixar mais do lado do entretenimento do que do aprendizado. Entre os principais usos da ludificação em ambientes empresariais e organizacionais estão o recrutamento, treinamento e gerenciamento de desempenho[1]. O objetivo é manter a essência da ludificação como um processo de aprendizagem.

Assim, o objetivo é manter a essência do ambiente do jogo, gerando um ambiente com menos estresse do que em uma situação real, tornando possível pensar e/ou agir de forma mais natural e calma, em um ambiente psicologicamente seguro. Além disso, as evidências mostram que os funcionários estão mais motivados a treinar desta forma do que da forma convencional, o que merece ser analisado como uma forma de aumentar o conhecimento. Por outro lado, aprender brincando desenvolve mais facilmente a "memória muscular" - afinal de contas, somos máquinas complexas de repetição. Isto nos permite preparar-nos para responder melhor a situações de risco ou situações que exigem ação imediata. Assim, como nas artes marciais, onde um movimento se repete até se tornar uma reação automática, procuramos gastar nossas energias em decisões que nada têm a ver com o que podemos treinar.

Os benefícios desta nova maneira de aprender são muitos, e é um ganho para ambas as partes. Do ponto de vista do funcionário, o conhecimento é adquirido de uma maneira mais divertida e prática. Do lado da empresa, os incidentes e tempos de resposta são reduzidos e a disposição dos funcionários para treinar também é melhorada, sem a premissa de que será uma tarefa entediante e repetitiva.

Treinamento, ciber-segurança e jogos

Cybersecurity é muito um jogo em si, pois existe uma estrutura padrão "gato e rato" nesta indústria onde um lado ataca e o outro defende, e isto facilita a criação de jogos baseados na dinâmica natural. Com esta premissa, em algumas áreas da ciber-segurança, a gamificação parece ser uma opção, no mínimo, bastante razoável. E embora quando propomos um treinamento gamificado o chamamos de "exercícios" para conseguir uma melhor aceitação no mercado tradicional, no fundo sabemos que isso inclui jogar jogos.

Mas podemos dar um passo além da gamificação, pois não apenas procuramos acrescentar dinâmicas de jogo aos processos conhecidos, mas também construir novas dinâmicas criadas a partir do design para facilitar os processos de aprendizagem, com base em métodos lúdicos para dar-lhes um contexto mais divertido. Esta é provavelmente a base para o futuro do treinamento (e por que não educação) não apenas em segurança cibernética.

De fato, talvez o principal ambiente no qual o mundo do treinamento, da cibersegurança e dos jogos converge seja o chamado "Exercícios de Mesa" (TTX), que serviu para treinar habilidades de estratégia militar por séculos, e derivado dos jogos de tabuleiro tradicionais. Este tipo de exercício permite a exposição a situações simuladas nas quais são praticadas as respostas e ações mais apropriadas para lidar com problemas e situações, tanto familiares como não familiares e inesperadas. Esta forma de treinamento não é apenas para pessoas com conhecimentos técnicos, mas também para executivos e gerentes em todos os níveis, incluindo a alta administração, que estão orientados para a tomada de decisões. Todos podem vivenciar isso. De fato, pesquisas sugerem que o treinamento usando Exercícios de Mesa melhora os níveis de conscientização, compreensão e preparação das equipes de resposta a incidentes de segurança cibernética (CSIRTs) e a tomada de decisões estratégicas, permitindo uma melhor preparação para lidar com incidentes reais[2].

Embora o assunto esteja em desenvolvimento há apenas alguns anos e tenha um longo caminho a percorrer, o treinamento gamificado e as experiências de aprendizagem baseadas no jogo formarão uma parte central dos programas de treinamento para o pessoal de segurança cibernética em um futuro não muito distante.