Apesar do amplo orçamento e dos recursos investidos em cibersegurança, violações ainda são comuns e cada vez mais impactantes. Quando esses incidentes são analisados, há um fator comum — a tecnologia controladora é subvertida pela ação humana. Por exemplo, a equipe pode entregar credenciais, viabilizar solicitações não autorizadas, deixar-se enganar por e-mails falsos e executar malware para benefício de um atacante.
Quando o Fórum Econômico Mundial afirma que 95% das violações de segurança ocorrem em decorrência de ação humana, fica clara a importância da conscientização quanto à segurança em toda a sua organização. Contudo, apesar de anos de atividade, ainda há muito mais o que fazer.
Seguem algumas das coisas que você talvez esteja fazendo e que podem prejudicar o seu programa de segurança — e o mais importante, os passos que você pode seguir para corrigi-las.
Erro 1: você deu o nome errado ao seu programa de segurança
Isso soa simples, mas você talvez tenha escolhido um nome ruim para o seu programa de segurança.
Todos nós enfatizamos a conscientização quanto à segurança e criamos “programas de conscientização quanto à segurança” para nossas empresas, mas isso não é o que realmente queremos. Nosso verdadeiro objetivo é mais do que apenas aumentar a conscientização — é mudar comportamentos. Chamar nosso programa de “conscientização quanto à segurança” leva-nos a enfatizar o resultado errado. Afinal, se nosso verdadeiro objetivo fosse evitar que as pessoas fumem, nós não chamaríamos nossa iniciativa de “campanha para alertar sobre os riscos do fumo”.
A solução para isso é simples: mudar o nome do programa. Decida qual é o resultado desejado e dê ao seu programa um nome adequado — como “Programa de mudança comportamental de segurança” ou “Programa de criação de uma cultura de segurança”. Você ficará impressionado com a diferença que uma pequena mudança como essa pode causar porque o novo nome será um lembrete constante do que você está tentando alcançar.
Erro 2: pensar que “bastante conscientização” resulta em uma cultura
O segundo erro está relacionado ao primeiro. Não raro, os programas decidem que podem mudar a cultura da organização aumentando a quantidade de treinamento para conscientização oferecido aos funcionários. Isso não funciona. Cultura não é o mesmo que “bastante conscientização”.
Existe um modelo de maturidade “CCC” (“ABC” em inglês) que eu utilizo, que significa conscientização, comportamento e cultura. Cada qual é uma etapa que se baseia na anterior. Fundamentalmente, há um pivô em cada etapa — uma mudança de foco que é necessária para passar de uma etapa para a próxima.
Vamos supor que já tenhamos conscientização. Para passar para comportamento, você precisa assegurar que os membros da sua equipe compreendam as consequências da cibersegurança, tanto em nível pessoal quanto profissional. Uma vez que tenham conscientização e motivação, eles são muito mais propensos a apresentar o comportamento correto. (Há um embasamento científico por trás dessa abordagem simplificada. Recomendo que você confira o modelo comportamental do professor BJ Fogg.)
Quando o comportamento está encaminhado, a cultura torna-se o seu objetivo. O pivô para a etapa da cultura é a criação de uma percepção ampla de que todos ao redor da empresa preocupam-se com a segurança. Observe que usei a palavra “percepção”. Inicialmente não precisa ser factual, visto que se trata de um autêntico caso de “fingir até conseguir”.
Crie essa percepção ajustando o seu plano de comunicação para assegurar que mensagens de segurança cheguem de todas as partes da sua organização — de executivos, de recepcionistas e, especialmente, de gerentes de linha e intermediários. Com efeito, essas mensagens devem vir de praticamente todos, exceto do diretor de segurança da informação (CISO).
Isso desenvolve em cada membro da equipe a percepção de que todos ao redor se importam com a segurança, o que o incentiva a agir de forma semelhante. Este é um exemplo de cultura.
Erro 3: uso de consequências negativas como principal motivador
O principal passo para levar o comportamento ao nível mencionado anteriormente é criar uma motivação para a mudança de comportamento. A motivação pode ser produzida de várias formas. Uma abordagem consiste em gerar o medo de uma punição ou constrangimento caso a equipe cometa um erro ou falhe em um teste de segurança.
Muitos profissionais de segurança têm opiniões fortes sobre essa questão. Alguns acreditam que consequências negativas devem ser evitadas a todo custo. Outros as utilizam como primeira e mais fácil ferramenta motivacional. Ambos estão errados e o melhor caminho a seguir encontra-se entre os dois.
Equipes de segurança ávidas por punir perdem o apoio das massas e são percebidas como o “guarda de trânsito” da organização. Você pode estar prestando um serviço, mas às expensas da agilidade, da flexibilidade e do pragmatismo — coisas de que as organizações modernas precisam muito. A equipe pode ficar menos propensa a transmitir a você suas preocupações, vulnerabilidades e ideias. Cada punição é um tijolo a mais na sua torre de marfim.
Contudo, a organização que vi com a mais baixa taxa de cliques em seus testes de phishing simulado tinha tanto um modelo de consequências negativas quanto uma equipe de segurança acessível e bem apreciada. Como eles conseguiram isso? É tudo uma questão de timing.
Ao introduzir pela primeira vez um modelo de consequências, seu foco deve estar unicamente na recompensa por fazer a coisa certa. O modelo de consequências negativas só deve ser considerado depois que a organização passar do nível de maturidade de comportamento para o nível de maturidade de cultura.
A essa altura você tem um nível sólido de apoio em toda a empresa e o modelo de consequências negativas pode ser colocado como último estágio, implementado para motivar os poucos retardatários que ainda não estiverem alinhados com a cultura adotada pelos demais. A implementação é a mesma, mas a mensagem transmitida é completamente diferente.
Conclusão
Em uma era na qual a identidade é a nova superfície de ataque e as pessoas são tão fundamentais para nossa defesa cibernética, uma cultura de segurança torna-se um controle essencial que todo CISO deve priorizar. Lidar com esses três problemas comuns fará uma diferença considerável para o seu programa de segurança. Isso também ajudará a reduzir o risco de uma violação bem-sucedida da cibersegurança por meio da sua base de usuários.
Saiba mais sobre o treinamento para conscientização quanto à segurança da Proofpoint e comece a promover mudanças comportamentais hoje mesmo.