CIBERSEGURANÇA: POR QUE OS USUÁRIOS INSISTEM EM ERRAR?
13 de novembro de 2018
Uma adequação da comunicação das questões referentes a cibersegurança pode ser o ponto central para que as políticas se executem e não se degradem. Esse foi o eixo da palestra “Humano, o elo mais fraco da cibersegurança”, Jessica Barcker, consultora convidada como palestrante à Conferência Gartner de Segurança e Gestão de Risco 2018.
A consultora constata que phishing por e-mail ainda é maior vetor de ataques, o que não se justifica pela simples falta de informação. A analista critica a abordagem de campanhas de conscientização que ignoram exatamente o que é inconsciente. “O otimismo é mais forte do que os fatos. O apelo do medo normalmente só funciona em circunstâncias muito específicas, quando o risco é muito tangível. Mas se você descreve uma catástrofe, as pessoas passam a achar inócuo qualquer cuidado”, diagnostica. “As pessoas são mais motivadas por recompensa do que por temor. Os atacantes sabem disso e exploram a curiosidade e a tentação de algum ganho para levar o usuário a clicar em qualquer coisa”, acrescenta.
Barker propõe uma profissionalização das campanhas de cibersegurança, com um repertório mais flexível de técnicas de comunicação. “Um hotel substituiu o argumento ambiental e passou simplesmente a informar que a maioria dos hóspedes não dispensa a toalha após o primeiro uso. Se você mostra estatísticas de uso de senhas fracas, o efeito pode ser exatamente ativar o ‘botão de desligar’ de quem vê um problema fora de controle” exemplifica.
Cláudio Neiva, vice-presidente de pesquisas do Gartner destacou, no mesmo evento, a importância de uma abordagem de IRM (gerenciamento integrado dos riscos). “Visões e expectativas diferentes sobre riscos e serviços de segurança comprometem as políticas. Os analistas não conseguem cobrir todos os riscos”, adverte.
Na palestra Descrevendo os riscos de TI e os serviços de cibersegurança conforme os valores de negócio, Tom Sholtz, também pesquisador da consultoria, defendeu um modelo semelhante ao ITIL (biblioteca de infraestrutura de TI), que estabeleça uma correlação estruturada entre a aplicação de recursos em cibersegurança e os objetivos de negócio. “Programas de cibersegurança falham se são tratados como assuntos técnicos e não compartilham a responsabilidade com os executivos”, observa.
O acréscimo de tecnologia, segundo Sholtz, tem eficácia muito limitada se houver descolamento entre investimentos e riscos prioritários. “Não há um portfólio de serviços universal”, resume.
“Quando escolhemos tecnologia para controle de segurança, esses controles têm que ser adaptativos”, diz Felix Gaehtgens, diretor de pesquisa. Na prática ele se refere à capacidade de criar e implementar mecanismos com uma visão realista dos riscos e dos comportamentos.
Tom Sholtz, também pesquisador do Gartner, defendeu um modelo semelhante ao ITIL (biblioteca de infraestrutura de TI), que estabeleça uma correlação estruturada entre a aplicação de recursos em cibersegurança e os objetivos de negócio. “Programas de cibersegurança falham se são tratados como assuntos técnicos e não compartilham a responsabilidade com os executivos”, observa. O acréscimo de tecnologia, segundo Sholtz, tem eficácia muito limitada se houver descolamento entre investimentos e riscos prioritários. “Não há um portfólio de serviços universal”, resume.
O que achou do post? Comente aqui ou deixe sua dúvida e nós lhe ajudaremos!