Muitas equipes de segurança consideram seus colegas que não atuam na área como potenciais pontos fracos em qualquer plano de cibersegurança. Isso resulta na implementação de tecnologias para mitigar escolhas ruins. Essa perspectiva é compreensível: o ‘elemento humano’ foi responsável por 68% das violações em 2023 e 74% em 2022, segundo o ‘Relatório de Investigações de Violação de Dados’ da Verizon.

No entanto, essa abordagem falha em melhorar a cibersegurança das empresas. Especialistas, como o Instituto Nacional de Padrões e Tecnologia (NIST), afirmam que a má usabilidade, a sobrecarga de segurança e a desconsideração do feedback dos usuários criam ameaças internas. Em um documento do governo dos EUA intitulado “Os usuários não são estúpidos,” o NIST incentiva organizações a repensar suas estratégias de segurança.

As empresas devem adotar uma cibersegurança centrada no humano (HCC), focando em processos e produtos que considerem as necessidades e motivações dos usuários. Um programa HCC inclui treinamentos de conscientização de segurança e anti-phishing, além de canais de feedback para os produtos de segurança. Ferramentas essenciais para esta abordagem incluem monitoramento de segurança e análise do comportamento do usuário/entidade (UEBA).

Segundo Julie Haney, líder do programa HCC do NIST, a abordagem HCC vai além de apenas oferecer produtos de segurança amigáveis. “É sobre colocar as pessoas em primeiro lugar ao projetar e implementar a segurança,” diz Haney. Sem uma cibersegurança centrada no humano, as soluções tornam-se inutilizáveis, aumentando a probabilidade de erros e decisões arriscadas.

No mês passado, o NIST lançou a Comunidade de Interesse em Cibersegurança Centrada no Humano. O objetivo é reunir profissionais, acadêmicos e formuladores de políticas para discutir como tornar a segurança mais eficaz e amigável ao usuário.

Poder da Cibersegurança para as Pessoas

A HCC tem ganho destaque entre as equipes de segurança. A Gartner prevê que até 2027, 50% dos CISOs de grandes empresas adotarão práticas centradas no humano. A Gartner também aponta o design de segurança centrado no humano como uma das principais tendências em cibersegurança em 2023 e 2024.

As equipes de segurança devem se comunicar de forma colaborativa com outros funcionários. Victoria Cason, analista principal da Gartner, afirma: “Adotar uma abordagem centrada no humano é reconhecer que lidamos com humanos, não com objetos inanimados.” Isso envolve abordar comportamentos e necessidades em relação às melhores práticas de segurança.

Entre os passos recomendados pela Gartner para um programa de comportamento e cultura de segurança (SBCP) estão a realização de simulações de ameaças e a adição de automação com análise de dados. Estas práticas ajudam os usuários a tomarem decisões seguras e a estimular o relato de incidentes de segurança.

Minimizar a fricção induzida pela cibersegurança pode melhorar a postura de segurança das empresas e reduzir o estresse no ambiente de trabalho. A Gartner estima que metade dos líderes em cibersegurança mudará de emprego entre 2023 e 2025, com um quarto desses profissionais abandonando o setor devido ao estresse.

HCC: Um Trabalho em Processo

Atualmente, não há uma definição padrão para HCC, o que motiva o NIST a promover pesquisas sobre como apoiar melhor a segurança dos trabalhadores. O último ‘Plano Federal de Pesquisa e Desenvolvimento em Cibersegurança’, publicado pela administração Biden, prioriza a HCC.

O plano aponta a necessidade de reduzir a carga de requisitos de cibersegurança e melhorar a usabilidade dos sistemas digitais. A Gartner também apresentou sua abordagem para implementar SBCPs através do framework PIPE: práticas, influências, plataformas e facilitadores.

A maioria dos programas de conscientização tradicionais se baseia em treinamentos anuais, mas isso não aborda a raiz do comportamento. Cason sugere ir além do treinamento convencional, utilizando ferramentas como gestão de identidade e acesso (IAM) e monitoramento de segurança.

A gestão de risco humano é a evolução do mercado de conscientização em segurança, focando na educação positiva dos trabalhadores e na redução do risco gerado por suas ações. Isso contrasta com a conformidade superficial de muitos programas.

Os Funcionários Se Preocupam com a Cibersegurança

A maioria dos trabalhadores reconhece seu papel crítico na proteção das empresas. Uma pesquisa da Ernst & Young revela que 34% deles se preocupam em causar uma violação. As empresas devem aproveitar essa conscientização e transformar preocupações em ações produtivas.

Se um funcionário clica em um link de phishing, as organizações costumam culpá-lo sem considerar toda a cadeia de processos que contribuiu para o erro. Os profissionais de cibersegurança devem desenvolver uma cultura que não rotule os usuários como o ‘inimigo’. Conversas abertas podem ajudar a identificar problemas na segurança.

Produtos como serviços de análise de risco humano devem ser usados com cautela. Monitorar usuários que cometem erros não deve ser uma abordagem punitiva, mas uma oportunidade de aprendizado e treinamento. “Os dados são úteis, mas é preciso tomar cuidado para não rotular as pessoas como ‘funcionários ruins’,” alerta Haney.

Para mais informações, participe do podcast Dark Reading Confidential, onde discutimos padrões de criptografia pós-quântica e o futuro da cibersegurança.

A Importância do Fator Humano na Cibersegurança

A cibersegurança centrada no humano (HCC) é uma abordagem que coloca as pessoas no centro da estratégia de segurança. Grande parte das violações de segurança cibernética está diretamente relacionada ao fator humano. Frequentemente, os usuários são considerados o elo mais fraco na cadeia de segurança, devido à falta de conscientização, conhecimento ou comportamento negligente. Em muitos casos, pessoas clicam, sem perceber, em links maliciosos ou utilizam senhas fracas, comprometendo de forma involuntária a segurança das organizações. Isso destaca a importância de focar no comportamento de segurança dos usuários. Assim, treinamentos contínuos e conscientização são fundamentais para mitigar riscos e fortalecer a postura de segurança das empresas no ambiente digital.

Implementar treinamentos de conscientização de segurança e anti-phishing serve como ponto de partida essencial para reduzir ameaças digitais. Dessa maneira, ao educar colaboradores sobre boas práticas de cibersegurança, eles terão o conhecimento necessário para proteger a organização contra possíveis ciberataques.

Mudança de Paradigma: Segurança Centrada no Usuário

A abordagem tradicional de segurança cibernética, focada essencialmente em aspectos funcionais e de uso dos sistemas, está sendo substituída por uma nova necessidade: a segurança centrada no usuário. Esse paradigma reconhece que os usuários podem representar tanto um valor significativo quanto um risco potencial para as organizações. Esforçar-se para entender como os seres humanos interagem com os sistemas é crucial, pois isso permite o desenvolvimento de soluções que não apenas protejam, mas também sejam intuitivas e fáceis de usar. Assim, a cibersegurança deve ser implementada de maneira que minimize fricção, permitindo que os usuários operem em um ambiente digital seguro e sem complicações.

Design Centrado no Humano na Cibersegurança

O Human-Centered Design (HCD) prioriza as necessidades e limitações dos usuários ao desenvolver tecnologia. Aplicar essa abordagem à cibersegurança é particularmente relevante. Através de pesquisas com usuários, testes de usabilidade e feedbacks, organizações podem identificar e resolver de forma proativa problemas de segurança, considerando o impacto direto que medidas de segurança possuem sobre o comportamento dos usuários. O design de segurança amigável promove uma experiência positiva que é mais propensa a ser adotada pelos colaboradores, ajudando na implementação de práticas de segurança mais eficazes e reduzindo a probabilidade de erros causados por usuários.

Cultura de Cibersegurança e Conscientização

Desenvolver uma cultura de cibersegurança sólida é uma tarefa imprescindível para organizações. Essa cultura deve ser integrada ao cotidiano de todos os colaboradores, tornando-se uma parte indispensável do ambiente de trabalho. Criar programas de comportamento e cultura de segurança que incentivem a colaboração e troca de conhecimentos entre diferentes departamentos aumenta significativamente a eficácia na proteção contra ameaças cibernéticas. A implementação de simulações de ameaças e o uso de ferramentas para monitoramento de segurança ajudam a identificar vulnerabilidades e reforçar a conscientização entre os colaboradores, promovendo uma responsabilidade coletiva pela proteção das informações organizacionais.

Colaboração Interdisciplinar na Cibersegurança

A implementação de soluções de cibersegurança centradas no humano demanda uma colaboração eficaz envolvendo múltiplas disciplinas, como designers, desenvolvedores e especialistas em segurança. Cada uma dessas disciplinas oferece uma perspectiva única que é essencial no desenvolvimento de um ambiente seguro e eficiente. Designers, por exemplo, precisam entender os riscos potenciais ao criar interfaces, enquanto especialistas em segurança devem trabalhar para tornar as políticas e ferramentas de segurança mais acessíveis. Promover essa colaboração é crucial para criar software que proteja sem comprometer a experiência do usuário.

Uma Abordagem Holística

Abordar de forma holística a cibersegurança significa considerar toda a jornada do usuário, não apenas os momentos críticos, como login, mas o processo completo de interação com a tecnologia. Ao fazer isso, é possível identificar vulnerabilidades que podem não ser notáveis à primeira vista. Implementar essa abordagem consiste em desenhar soluções que considerem o contexto e as necessidades específicas de cada usuário, garantindo que as soluções de segurança sejam eficazes, relevantes e fáceis de utilizar.

Mitigação de Riscos através de Educação e Políticas Claras

A conscientização e educação dos usuários são meios potentes para mitigar riscos de ataques cibernéticos, juntamente com políticas claras que definem papéis e responsabilidades de todos. Essas políticas precisam ser comunicadas de maneira eficiente e revisadas periodicamente para se manterem atualizadas. Ao promover um entendimento claro das responsabilidades, os usuários estão mais aptos a fazer escolhas informadas que beneficiem a segurança coletiva. No mesmo contexto, a automatização e análise de dados são ferramentas poderosas para monitorar o comportamento dos usuários e ajustar práticas de segurança de maneira ágil e eficiente.

Impacto e Futuro da Segurança Cibernética Centrada no Humano

A segurança cibernética centrada no humano é fundamental na era digital, onde a sofisticação dos ataques cibernéticos cresce exponencialmente. Adotar essa abordagem significa priorizar o comportamento dos usuários e a cultura de segurança, focando não apenas em proteger informações, mas em educar e capacitar as pessoas. Implementar uma cibersegurança centrada no humano melhora a experiência do usuário e reduz erros de segurança, transformando usuários no primeiro nível de defesa de uma organização.

No cenário futuro da cibersegurança, a implementação de ferramentas como automatização e análise de dados tomará um lugar crucial. Ferramentas de monitoramento e análise de comportamento permitirão às organizações não só reagir a incidentes, mas também prever ameaças potenciais. Sendo assim, a integração de inteligência artificial e algoritmos de aprendizado de máquina serão cruciais para identificar padrões de anomalias e elevar as ações de resposta proativamente.

Explore mais sobre o tema através dos links abaixo:

• Usuário, Uso e Usabilidade: Redefinindo a Segurança Cibernética Centrada no Ser Humano
• Fator Humano na Cibersegurança
• Importância do Fator Humano
• Cibersegurança: Human-Centered Design e o Futuro
• Impactos da Cibersegurança e Design Centrado no Humano

#Cibersegurança #SegurançaCibernética #ComportamentoDeSegurança #CulturaDeSegurança #ConscientizaçãoDeSegurança #TreinamentoDeSegurança #HumanCenteredDesign #AleGon