Criação do firewall humano: navegando pela mudança comportamental na conscientização e cultura de segurança

As últimas descobertas do relatório IBM X-Force Threat Intelligence Index destacam uma mudança nas Táticas dos invasores. Em vez de usar métodos tradicionais de hacking, houve um aumento significativo de 71% nos ataques em que os criminosos estão utilizando uma exploração de credenciais válidas para se infiltrar nos sistemas. Os ladrões de informações observaram um aumento impressionante de 266% em sua utilização, enfatizando seu papel na aquisição dessas credenciais. Seu objetivo é simples: explorar o caminho de menor resistência, muitas vezes por meio de funcionários desavisados, para obter credenciais válidas.

As organizações gastaram milhões desenvolvendo e implementando tecnologia de ponta para reforçar suas defesas contra essas ameaças, e muitas já têm campanhas de consciência, então por que não estamos conseguindo impedir esses ataques?

Desafios dos programas tradicionais de consciência sobre segurança

A maioria dos programas de consciência sobre segurança fornece aos funcionários as informações necessárias sobre como lidar com dados, regras do GDPR e ameaças comuns, como phishing.

No entanto, há uma grande fraqueza nessa abordagem: os programas não consideram o comportamento humano. Em geral, eles seguem uma abordagem de tamanho único, com os funcionários realizando um treinamento anual genérico baseado em computador com uma animação inteligente e um breve questionário.

Embora isso forneça as informações necessárias, a natureza apressada do treinamento e a falta de relevância pessoal muitas vezes resultados em funcionários esquecendo as informações em apenas 4 a 6 meses. Isso pode ser explicado pela teoria de Daniel Kahneman sobre a cognição humana. Segundo a teoria, cada indivíduo tem um processo de pensamento rápido, automático e intuitivo, chamado Sistema 1. As pessoas também têm um processo de pensamento lento, deliberado e analítico, chamado Sistema 2.

Os programas tradicionais de consciência de segurança visam principalmente o Sistema 2, pois as informações precisam ser processadas de forma racional. No entanto, sem motivação suficiente, repetição e significado pessoal, a informação geralmente entra por um ouvido e sai por outro.

É crucial entender o comportamento dos funcionários

Quase 95% do pensamento e da tomada de decisão humanos são controlados pelo Sistema 1, que é nossa maneira habitual de pensar. Os humanos enfrentam milhares de tarefas e estímulos por dia, e grande parte do nosso processamento é feito de forma automática e inconsciente por meio de vieses e heurísticas. O funcionário médio trabalha no piloto automático e, para garantir que os problemas e os riscos de cibersegurança sejam integrados em suas decisões diárias, precisamos projetar e criar programas que realmente entendam sua maneira intuitiva de trabalhar.

Para entender o comportamento humano e como alterá-lo, existem alguns fatores que devemos avaliar e medir, com o apoio da Roda de Mudança de Comportamento COM-B.

  • Primeiro, precisamos conhecer os recursos dos funcionários. Isso se refere ao seu conhecimento e habilidades para adotar práticas online seguras, como criar senhas fortes e reconhecer tentativas de phishing.
  • Em seguida, precisamos identificar se há oportunidades suficientes para que aprendam, incluindo a disponibilidade de recursos como programas de treinamento, políticas e procedimentos.
  • Por último, e mais importante, precisamos entender o nível de motivação dos funcionários e sua disposição e impulso para priorizar e adotar comportamentos seguros.

Quando compreendemos e avaliamos essas três áreas, podemos identificar áreas para mudança comportamental e elaborar intervenções que tenham como alvo os comportamentos intuitivos dos funcionários. Em última análise, essa abordagem ajuda as organizações a promover uma primeira linha de defesa por meio do desenvolvimento de uma força de trabalho mais cibernética.

Precisamos promover uma cultura de cibersegurança positiva

Uma vez identificada a causa raiz dos problemas comportamentais, a atenção naturalmente se volta para a criação de uma cultura de segurança. O desafio predominante na cultura da cibersegurança hoje é sua fundamentação no medo de erros e irregularidades. Essa mentalidade muitas vezes promove uma percepção negativa da cibersegurança, resultando em baixas taxas de conclusão de treinamento e responsabilidade mínima. Essa abordagem requer uma mudança, mas como podemos realizar isso?

Em primeiro lugar, devemos reconsiderar nossa abordagem às iniciativas, afastando-se de um modelo exclusivamente focado na consciência e orientado à conformidade. Embora o treinamento de consciência sobre segurança continue vital e não deva ser negligenciado, devemos diversificar nossos métodos educacionais para promover uma cultura mais positiva. Juntamente com o amplo treinamento organizacional, devemos adotar programas específicos para funções que incorporem aprendizado experiencial e gamification, como os ambientes cibernéticos envolventes facilitados pelo IBM X-Force. Além disso, campanhas em toda a organização podem reforçar a noção de uma cultura positiva, envolvendo atividades como estabelecer uma rede de campeões de cibersegurança ou realizar meses de consciência com eventos diversos.

Depois que essas iniciativas forem selecionadas e implementadas para cultivar uma cultura de cibersegurança positiva e robusta, é essencial que elas recebam apoio de todos os níveis da organização, desde a liderança sênior até os profissionais iniciantes. Somente quando há uma mensagem unificada e afirmativa é que poderemos transformar verdadeiramente a cultura dentro das organizações.

Se não medimos a redução de risco humano, não saberemos o que funciona

Agora que identificamos os desafios comportamentais e implementamos um programa que visa promover uma cultura positiva, as próximas etapas são estabelecer métrica e parâmetros para o sucesso. Para avaliar a eficácia do nosso programa, devemos lidar com uma pergunta fundamental: até que ponto mitigamos o risco de um incidente de cibersegurança decorrente de erro humano? É crucial estabelecer um conjunto abrangente de métricas capazes de medir a redução de riscos e o sucesso geral do programa.

Tradicionalmente, as organizações confiam em métodos como campanhas de phishing e testes de proficiência, com resultados mistos. Uma abordagem moderna é a quantificação de risco, um método que atribui um valor financeiro ao risco humano associado a um cenário específico. Integrar essas métricas a nosso programa de cultura de segurança nos permite avaliar seu sucesso e aprimorá-lo continuamente ao longo do tempo.

Colabore com a IBM e crie o firewall humano

O cenário em constante mudança da cibersegurança exige uma abordagem abrangente que lide com o fator humano crítico. As organizações precisam cultivar uma cultura positiva de cibersegurança, apoiada pelo envolvimento da liderança e iniciativas inovadoras. Isso precisa ser associado a métricas eficazes para medir o progresso e demonstrar o valor.

A IBM oferece uma gama de serviços para ajudar nossos clientes a transformar seus programas de consciência para se concentrar no comportamento humano. Podemos ajudá-lo a avaliar e adaptar as intervenções da sua organização às motivações e hábitos de seus funcionários, e ajudá-lo a promover uma primeira linha de defesa resiliente contra ameaças emergentes, capacitando cada indivíduo a ser um guardião proativo da cibersegurança.

Autora

Ailsa Davidson

Security Strategy & Risk Consultant

IBM

Oliver Silver

Cybersecurity Strategy & Risk Consultant
