Implementarea de politici solide nu este suficientă dacă utilizatorii finali – în special angajații – nu înțeleg riscurile și nu știu cum să le identifice sau să reacționeze. De aceea, orice organizație care gestionează date personale, informații sensibile sau conturi critice trebuie să investească într-un program de training periodic pentru angajați. Acest program nu este opțional și nu se reduce la o prezentare anuală. Este un proces continuu, bazat pe actualizare, testare și adaptare în funcție de nivelul de risc și specificul activității.
Primul pas este evaluarea nivelului de conștientizare existent. Un chestionar de autoevaluare sau o simulare de tip phishing sunt metode eficiente pentru a înțelege cât de bine sunt pregătiți angajații să identifice tentativele de fraudă. În funcție de rezultate, se stabilește nivelul de intervenție: sesiuni introductive pentru personalul nou, workshopuri avansate pentru echipele tehnice sau instruiri personalizate pentru personalul din zona financiară, HR sau relații clienți – toate expuse în mod diferit la riscul de furt de identitate.
Conținutul trainingului trebuie să acopere atât aspectele tehnice, cât și comportamentele de risc:
🔹 Ce este furtul de identitate și care sunt mecanismele de declanșare (phishing, inginerie socială, scurgeri de date).
🔹 Cum arată un e-mail, apel sau SMS suspect și cum se verifică legitimitatea acestora.
🔹 Ce se întâmplă cu datele expuse: unde ajung, cum sunt vândute sau folosite pentru fraudă financiară ori reputațională.
🔹 Cât valorează o adresă de e-mail compromisă, un cont de platformă cloud sau o combinație de CNP+IBAN într-un mediu darknet.
Trainingul trebuie să includă și demonstrații live sau simulări. De exemplu, se poate arăta cum funcționează un keylogger, cum se clonează o pagină de login, cum poate fi interceptat un cod 2FA sau cum poate un atacator extrage date dintr-un profil de social media aparent „inofensiv”. Aceste demonstrații oferă un impact mult mai mare decât simpla lectură a unei politici scrise.
Un alt element-cheie este clarificarea responsabilităților individuale. Angajații trebuie să înțeleagă că:
🔹 Nu trebuie să salveze parolele în browserele personale necriptate.
🔹 Nu au voie să partajeze conturi între colegi (nici temporar).
🔹 Trebuie să notifice imediat departamentul IT sau persoana responsabilă în caz de suspiciune de fraudă.
🔹 Trebuie să folosească manageri de parole aprobați și să activeze autentificarea 2FA oriunde este disponibilă.
Este esențial ca trainingul să nu fie perceput ca o obligație birocratică, ci ca o protecție a interesului propriu. De aceea, multe organizații includ și exemple concrete cu incidente reale – din firmă sau din presă – care au afectat conturi, baze de date sau reputația unor persoane.
Pentru validarea cunoștințelor, se recomandă testarea la finalul fiecărei sesiuni. Aceasta poate include:
🔹 întrebări de tip quiz cu scenarii reale;
🔹 detectarea unui e-mail de phishing fals vs. legitim;
🔹 simulări în care angajatul trebuie să reacționeze la o alertă de securitate.
În companiile mari, acest tip de testare poate fi gamificat sau integrat într-o platformă LMS (Learning Management System), care oferă feedback personalizat și urmărește progresul individual. În companiile mici sau ONG-uri, este suficientă o formă de testare standardizată urmată de un follow-up practic.
Periodicitatea trainingurilor este un alt element important. O sesiune anuală nu este suficientă. Ideal ar fi:
🔹 O instruire formală la angajare (onboarding).
🔹 Rapoarte lunare sau trimestriale privind incidentele reale din domeniu.
🔹 Mini-traininguri trimestriale cu actualizări (modificări legislative, noi tipologii de atacuri).
🔹 Repetarea testelor de phishing și ajustarea dificultății acestora.
Tot în cadrul trainingului trebuie introdus și un canal de raportare sigur, anonim dacă este cazul, unde orice angajat poate semnala tentativele de fraudă, scurgerile de date sau suspiciunile privind conturi compromise. Acest canal trebuie să aibă un răspuns prompt, pentru ca angajații să aibă încredere în utilitatea lui.
Nu în ultimul rând, este utilă introducerea unui cod de conduită privind protecția identității. Acesta poate fi un document simplu, de 1-2 pagini, pe care angajații îl semnează și prin care își asumă că au înțeles regulile, bunele practici și consecințele nerespectării acestora.
Trainingul pentru angajați este ultima linie de apărare în fața unui atac de furt de identitate. Cele mai performante soluții tehnice pot fi ocolite în câteva secunde dacă o persoană din echipă deschide un fișier infectat, răspunde la un e-mail manipulator sau tastează codul de autentificare într-o fereastră falsă. Tocmai de aceea, instruirea continuă, testarea și responsabilizarea angajaților sunt esențiale.
În ultima lecție vom analiza cum se poate evalua obiectiv eficiența măsurilor implementate și cum se organizează audituri sau testări periodice pentru a preveni breșele înainte de a deveni incidente reale.