Get a Break from the Chaos of RSA and Meet with Forcepoint at the St. Regis.

Close
X-Labs
Agosto 6, 2020

Acredite no que eu faço, não no que eu digo - Compreendendo os hábitos de segurança do usuário com análise comportamental

Dr. Margaret Cunningham Principal Research Scientist

Você está sem tempo para concluir seu treinamento anual de segurança da informação, então você encontra o e-mail de lembrete final, clica no link e faz login no portal de treinamento. Enquanto o treinamento é executado em uma de suas telas, você continua a enviar e-mails, realizar outras tarefas ou navegar na Internet. Se você não tiver sorte, seu módulo de treinamento tira sua capacidade de multitarefa, então você faz uma viagem para a cozinha enquanto ele zumbe ao fundo. Finalmente! É hora de fazer o exame. Em sua segunda tentativa, você consegue 84%, o que é bom o suficiente para seguir em frente com seu dia.

Embora esse cenário descreva materiais e processos de treinamento não ideais (um tópico digno abordarmos em um outro texto), ele reflete a experiência de muitos funcionários.

Por que isso acontece?

Algumas pesquisas rápidas sobre treinamento de conscientização de segurança revelam uma série de artigos que insistem que você deve aumentar o treinamento[1] para lidar com “erro humano[2][3][4]”, uma vez que “humanos são o elo mais fraco na cibersegurança”. O resultado é que a maioria das organizações cria materiais de treinamento que se encaixam em sua estratégia orientada para conformidade atual, e algumas investem em métodos superiores, como ataques simulados, educação contínua e reforço dos principais objetivos de aprendizagem.

O que você raramente encontra, no entanto, são dados que ilustram como o treinamento de conscientização de segurança captura as diferenças individuais nos comportamentos reais do dia-a-dia que estão alinhados com as práticas de segurança fortes. Embora o treinamento não seja substituído em nenhum momento no futuro próximo, as organizações que levam a sério a construção de resiliência contra ameaças cibernéticas devem investir na compreensão do comportamento humano.

Uma pesquisa[5] recente mostra que muitas vezes há uma incompatibilidade entre o nível auto relatado de consciência de segurança de uma pessoa (como suas respostas a um questionário ou teste) e seu comportamento real quando desafiado por uma ameaça à segurança. Isso significa que uma pontuação perfeita em um módulo de treinamento anual, ou um questionário preenchido com respostas desejáveis, pode não se traduzir em comportamentos que mantêm uma organização segura.

No entanto, quando os comportamentos reais de uma pessoa (não a documentação relatada por ela mesma) são analisados, suas ações diárias típicas se alinham com seu desempenho nos desafios de segurança. Simplificando, as pessoas que se envolvem em comportamentos menos seguros ou menos “conscientes da segurança” têm menos probabilidade de passar pelos desafios de segurança (como phishing), enquanto as pessoas que se envolvem em comportamentos mais seguros e “conscientes da segurança” têm mais probabilidade de passar pelos desafios de segurança.

Na verdade, olhando para os dados na Tabela 1, você pode ver que em vários tipos de desafio, superar com sucesso o desafio correlacionou-se quase perfeitamente com medidas de conscientização de segurança derivadas de dados comportamentais. No entanto, a correlação desaparece (ou é negativa!) Quando você procura uma relação entre o desempenho nos desafios de segurança e as respostas de conscientização de segurança em um questionário.

Tabela 1. Correlação entre desempenho em desafios de segurança e comportamento de usuário observado (Network and Mobile Agent) ou autorreferido (Questionário), de Bitton et al., 2020.

 

Tipo de coleta de dados

Tipo de Desafio

Rede

Agente Móvel

Questionário

Phishing

0.86

0.91

0.57

Manipulação de Certificado

0.94

0.94

-0.61

Spam Pop-ups

0.97

0.99

-0.27

Pedido de permissão

0.99

1.00

-0.92

 

Além disso, Bitton e colegas encontraram discrepâncias entre o comportamento auto relatado e o comportamento real, além dos desafios de segurança. Os participantes que relataram que evitariam sites com avisos de segurança, nunca baixariam arquivos inseguros / não criptografados e usariam telas bloqueadas protegidas por senha, muitas vezes se contradiziam ao se engajar nesses mesmos comportamentos.

Conclusão

Como nossa força de trabalho é cada vez mais bombardeada por ataques sofisticados, é fundamental deixar de lado um senso inflado de segurança baseado em medidas tendenciosas de autorrelato e ir em direção a uma avaliação comportamental realista da resiliência humana a ameaças cibernéticas.

A análise comportamental pode promover a compreensão de uma organização dos níveis reais de conscientização de segurança dos funcionários, eliminando o preconceito inerente às medidas de autorrelato e desempenho em módulos de treinamento de baixa fidelidade.

Compreender o comportamento dessa maneira também fornece uma linha de base significativa dos comportamentos do usuário final, o que pode aumentar a capacidade de uma organização de medir o impacto de treinamentos futuros ou campanhas de conscientização de segurança.

--

Dr. Margaret Cunningham

Principal Research Scientist

Dr. Margaret Cunningham is Principal Research Scientist for Human Behavior within our Global Government and Critical Infrastructure (G2CI) group, focused on establishing a human-centric model for improving cybersecurity. Previously, Cunningham supported technology acquisition, research and...

Leia mais artigos do Dr. Margaret Cunningham

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.