Aqui está a pergunta de milhões para profissionais de segurança cibernética: “Sua equipe de segurança considera os funcionários de sua empresa seus aliados ou inimigos? Eles acham que os funcionários são o elo mais fraco na cadeia de segurança? Vamos colocar esse último de forma mais ampla e direta: sua equipe assume que os usuários não têm noção?
Suas respostas a essas perguntas podem variar, mas um artigo recente da cientista da computação do Instituto Nacional de Padrões e Tecnologia (NIST), Julie Haney, destaca um problema generalizado no mundo da segurança de computadores: muitos especialistas em segurança têm concepções errôneas sobre usuários leigos de tecnologia da informação e esses equívocos podem aumentar o risco de violações de segurança cibernética de uma organização. Esses problemas incluem comunicações ineficazes para usuários leigos e incorporação inadequada de feedback do usuário sobre a usabilidade do sistema de segurança.
“Especialistas em segurança cibernética são profissionais qualificados e dedicados que prestam um excelente serviço para nos proteger contra ameaças cibernéticas”, disse Haney. “Mas, apesar de ter as intenções mais nobres, a forte dependência de sua comunidade da tecnologia para resolver problemas de segurança pode desencorajá-los de considerar adequadamente o elemento humano, que desempenha um papel importante na segurança eficaz e utilizável.”
O elemento humano refere-se aos fatores individuais e sociais que afetam a adoção de segurança pelos usuários, incluindo suas percepções das ferramentas de segurança. Uma ferramenta ou abordagem de segurança pode ser poderosa em princípio, mas se os usuários a perceberem como um obstáculo e tentarem contorná-la, os níveis de risco podem aumentar. Um relatório recente estimou que 82% das violações de 2021 envolveram o elemento humano e, em 2020, 53% dos incidentes cibernéticos do governo dos EUA resultaram de funcionários que violaram políticas de uso aceitáveis ou sucumbiram a ataques de e-mail.
Haney, que tem uma combinação comparativamente incomum de experiência em segurança cibernética e computação centrada no ser humano, escreveu seu novo artigo, “Users Are Not Stupid: Six Cyber Security Pitfalls Overturned”, para ajudar a segurança e as comunidades de usuários a se tornarem aliadas na mitigação de riscos cibernéticos. .
“Precisamos de uma mudança de atitude em segurança cibernética”, disse Haney. “Estamos conversando com os usuários em uma linguagem que eles realmente não entendem, sobrecarregando-os e menosprezando-os, mas ainda esperando que sejam excelentes profissionais de segurança. Essa abordagem não os prepara para o sucesso. Em vez de ver as pessoas como obstrucionistas, precisamos capacitá-las e reconhecê-las como parceiras na cibersegurança.”
O documento detalha seis armadilhas que ameaçam os profissionais de segurança, juntamente com possíveis soluções:
- Supondo que os usuários não tenham noção. Embora as pessoas cometam erros, menosprezar os usuários pode resultar em uma relação doentia “nós contra eles” entre usuários e profissionais de segurança cibernética. A pesquisa com não especialistas revela que os usuários estão simplesmente sobrecarregados, muitas vezes sofrendo de fadiga de segurança . Uma solução potencial envolve a construção de relacionamentos positivos com os usuários, ao mesmo tempo em que os capacita a serem parceiros ativos e capazes em segurança cibernética.
- Não adequar as comunicações ao público. Os profissionais de segurança geralmente usam jargões técnicos que reduzem o envolvimento do público e podem não adaptar as lições de maneira a atrair o interesse dos usuários em suas vidas diárias. Várias estratégias podem ajudar, desde o foco em mensagens em linguagem simples até a apresentação de informações em vários formatos e a obtenção da ajuda do escritório de relações públicas de uma organização.
- Criação involuntária de ameaças internas devido à baixa usabilidade. Os usuários que já são levados ao limite por pressões de tempo ou outras distrações podem involuntariamente se tornar uma ameaça, pois se tornam propensos a tomar decisões erradas. (Como um exemplo, políticas de senha complexas podem inspirar decisões ruins, como usar a mesma senha em várias contas.) Descarregar a carga de segurança do usuário pode ajudar, como explorar se mais filtragem de e-mail pode ser feita pelo servidor para que menos phishing e-mails passam. Além disso, ao testar novas soluções de segurança, testar a abordagem primeiro com um pequeno grupo de usuários pode revelar possíveis confusões que podem ser corrigidas antes de um lançamento mais amplo.
- Ter muita segurança. “Demais” implica que uma solução de segurança pode ser muito rígida ou restritiva para o contexto de trabalho específico. Embora sempre usar as ferramentas mais seguras disponíveis pareça sábio em princípio, alguns usuários podem achar a complexidade resultante sufocante para o trabalho diário, levando-os a violar as políticas de segurança com mais frequência. Em vez de uma postura de “tamanho único”, realizar uma avaliação de risco usando uma estrutura de gerenciamento de risco pode ajudar a determinar qual nível de segurança cibernética se adapta melhor a um determinado ambiente.
- Dependendo de medidas punitivas ou mensagens negativas para fazer com que os usuários cumpram. O reforço negativo é comum nas organizações hoje: os exemplos incluem desabilitar contas de usuário se o treinamento de segurança não for concluído e envergonhar publicamente os indivíduos que causam incidentes de segurança cibernética. Quer essas medidas funcionem ou não no curto prazo, elas geram ressentimento em relação à segurança no longo prazo. Em vez disso, oferecer incentivos positivos para os funcionários que respondem às ameaças adequadamente pode melhorar as atitudes em relação à segurança, assim como adotar uma abordagem colaborativa com usuários em dificuldades.
- Não considerar medidas de eficácia centradas no usuário. Como os funcionários muitas vezes consideram o treinamento de segurança uma atividade chata e precária, quanto deles eles realmente retêm? Sem feedback direto do usuário e indicadores concretos de comportamento, as organizações podem se esforçar para responder a essa pergunta. É útil pensar em métricas concretas como identificadores de sintomas – como chamadas de suporte técnico que revelam os pontos problemáticos dos usuários e incidentes como cliques de phishing que podem mostrar onde os usuários precisam de mais suporte. Depois de identificar os sintomas, as equipes de segurança podem usar pesquisas, grupos focais ou outras interações diretas com os usuários para determinar a causa raiz dos problemas, bem como melhorar suas soluções.
Haney enfatizou que nem todos os profissionais de segurança têm esses equívocos; certamente há equipes e organizações de segurança fazendo progressos positivos em reconhecer e abordar o elemento humano da segurança. No entanto, esses equívocos continuam prevalecendo na comunidade.
Haney disse que, embora o problema de negligenciar o elemento humano seja bem conhecido há anos – seu artigo cita evidências de pesquisas da indústria, publicações governamentais e publicações de pesquisa de segurança utilizáveis, bem como o trabalho original de seu grupo de pesquisa – há uma lacuna entre os resultados da pesquisa e pratique.
“Tem havido muita pesquisa sobre esse assunto, mas a pesquisa não está chegando às mãos de pessoas que possam fazer algo a respeito. Eles não sabem que existe”, disse ela. “Trabalhando no NIST, onde temos conexão com todos os tipos de especialistas em TI, vi a possibilidade de preencher essa lacuna. Espero que caia nas mãos deles.”
Artigo: Julie Haney. Os usuários não são estúpidos: seis armadilhas de segurança cibernética derrubadas. Segurança cibernética: um jornal revisado por pares . Março de 2023.
Artigo Traduzido: Fonte Laboratório de Tecnologia e Informação do Governo dos Estados Unidos da América.