terça-feira, out 27, 2020

Future Insights - Pessoas fazem coisas de pessoas: o futuro da segurança é humano

Margaret Cunningham
Dr. Margaret Cunningham Principal Research Scientist

Nota do nosso editor, Global CTO Nicolas Fischbach:

Seja bem-vindo a terceira parte da série Forcepoint Future Insights, que oferecerá seis diferentes pontos de vista sobre tendências e eventos que acreditamos que a indústria de cibersegurança terá de lidar em 2021. Não deixe de conferir as publicações anteriores da série:

Abaixo você encontra a próxima publicação da Dr. Margaret Cunningham, Principal Research Scientist.

À medida que 2020 chega ao fim, a importância de compreender a relação entre os humanos e a tecnologia está em alta. Mudanças generalizadas na estrutura de nossa sociedade, provocadas pela pandemia em curso, expuseram as fraquezas nas ferramentas e protocolos de segurança para funcionários remotos, destacaram questões de confiabilidade e acessibilidade da rede e exigiram que os humanos encontrassem maneiras inovadoras de manter as organizações funcionando. Embora as consequências da pandemia sejam indignas, a capacidade das pessoas de responder a desafios aparentemente intermináveis tem sido notável.

O ano de 2021 continuará a refletir a resiliência e a engenhosidade humana. Será o ano de soluções alternativas e ameaças internas egoístas, onde as pessoas encontram maneiras de atingir seus objetivos, apesar de lidar com adversidades pessoais e profissionais. Soluções alternativas, atalhos e estratégias de trabalho criativas são, simultaneamente, uma celebração da criatividade humana e um risco para as organizações que estão tentando desesperadamente manter a visibilidade de seus ativos. Em última análise, as pessoas que compartilham dados e acessam redes corporativas de maneiras novas e potencialmente não sancionadas trazem um certo risco - especialmente para organizações que são novas no gerenciamento de funcionários remotos.

O resultado dessas mudanças é que as estratégias de segurança cibernética bem-sucedidas deixarão de tentar usar a tecnologia como uma força unilateral para controlar o comportamento humano. Ao invés disso, as organizações aceitarão a realidade de que adicionar mais e mais tecnologia ou segurança não leva à conformidade comportamental, especialmente a não conformidade que se alinha aos princípios de segurança e higiene cibernética adequada. Na verdade, camadas adicionais de segurança podem empurrar mais pessoas para fora dos guias devido ao atrito de segurança cada vez mais agravante que as impede de concluir tarefas ou acessar facilmente ativos organizacionais críticos.

Compreendendo a previsão anterior

Diante disso, entender como as pessoas se adaptam, respondem e informam seus ambientes é fundamental para as organizações que estão entrando no novo ano. Por muito tempo, o mundo da tecnologia criou produtos com a suposição de que as pessoas os usarão de uma maneira esperada ou uniforme, ou que as pessoas se conformariam às regras e restrições estabelecidas por equipes de engenharia bem-intencionadas. Se aprendemos alguma coisa com 2020, é que as pessoas nem sempre são previsíveis, e fazer suposições sobre o comportamento humano é um jogo perigoso. O que veio à tona é que as expectativas, diretrizes, práticas recomendadas e até comandos produzirão todo tipo de resposta comportamental - de conformidade rígida a não conformidade retaliatória.

O que podemos fazer? Podemos aprender mais sobre o que motiva o comportamento e como as pessoas decidem se comportar. Também podemos nos comprometer a projetar e implementar práticas e ferramentas de segurança que funcionem com humanos em vez de contra eles. Para fazer isso, no entanto, temos que nos concentrar em medir e compreender o comportamento, ao invés de nos concentrarmos exclusivamente na detecção de comprometimentos e vulnerabilidades.

Por exemplo, sabemos que as necessidades imediatas das pessoas muitas vezes superam as consequências negativas potenciais - especialmente quando as consequências não têm um impacto direto, individual e imediato. Isso significa que, quando precisamos cumprir nossos objetivos, geralmente escolhemos o caminho mais fácil. Infelizmente, a rota mais fácil costuma ser mais arriscada do que a rota “ideal”. Quando nos deparamos com ferramentas de compartilhamento de dados e arquivos com alta segurança, podemos recorrer ao compartilhamento por meio de aplicativos pessoais na nuvem. Criar regras para impedir que as pessoas se envolvam neste tipo de comportamento não está funcionando - então, em vez disso, temos que entender melhor esses comportamentos para encontrar maneiras de mitigar seus riscos para as organizações e ativos organizacionais.

Construindo compreensão comportamental em sistemas

No setor de segurança cibernética, observar e compreender os comportamentos deve vir com contexto. O que pode parecer à primeira vista um ato obviamente malicioso com probabilidade de levar à perda de dados - por exemplo, um engenheiro solicitando acesso a vários repositórios de dados confidenciais ao longo de dois dias - pode ser simplesmente uma pessoa realizando seu trabalho. Nossa engenheira pode estar fazendo isso porque ela foi adicionada a vários novos projetos e precisa ser capaz de colaborar com sua nova equipe.

Queremos que as pessoas possam fazer seu trabalho dentro das restrições de nossa rede corporativa e políticas, portanto, bloqueá-las apenas encorajaria a tendência humana de encontrar um caminho mais fácil (e menos seguro!) Para realizar seus trabalhos. Com uma equipe de pesquisa interdisciplinar, reunindo especialistas de segurança, contra inteligência, TI e ciências comportamentais, a compreensão comportamental pode ser incorporada aos sistemas de segurança cibernética. E esta é a primeira etapa importante para finalmente começar a mover a segurança cibernética para o lado esquerdo da violação - projetando a segurança para o elemento humano.

About the Author

Margaret Cunningham

Dr. Margaret Cunningham

Principal Research Scientist

Dr. Margaret Cunningham is Principal Research Scientist for Human Behavior within our Global Government and Critical Infrastructure (G2CI) group, focused on establishing a human-centric model for improving cybersecurity. Previously, Cunningham supported technology acquisition, research and...