A Camada Humana da Segurança da Informação

Por melhores que sejam as tecnologias e soluções para proteger os sistemas digitais das companhias, não ter processos e controles dos riscos humanos pode comprometer mesmo o mais protegido perímetro. Neste artigo, Rodrigo Jorge aponta os riscos mais importante causados pelas pessoas, e os melhores meios de gerenciar essa demanda

*por Rodrigo Jorge

Uma das carreiras que considero mais promissoras na área de Cyber Security ou Segurança da Informação é aquela ligada à Camada Humana. Ela tem várias abordagens, da mais básica à mais avançada. Por isso, quero aqui falar a respeito.

Essa área, tem a mais importante missão que é Gerenciar os Riscos Humanos que impactam a Segurança da Informação, Melhor explicando, ela advém de eventos ligados às pessoas (camada humana) envolvidas nos processos de acesso, uso e descarte da informação. Isso se dá desde o login no seu terminal (laptop, desktop, celular) ao uso de sistemas corporativos, ferramentas, aplicativos e repositórios de arquivos e bancos de dados.

Eu sempre disse que o Humano, que é o começo e o fim da segurança. Afinal, é o ser humano que define os processos e políticas, que escolhe e utiliza as tecnologias, que as protege ou que as deixa inseguras. Dessa forma, o humano tem a capacidade de construir mas também de destruir e isso depende apenas das decisões que ele toma de maneira consciente ou inconsciente no seu dia-a-dia. Quanto mais seguras as decisões, menos incidentes. E o que precisamos para que isso se torne realidade? Educação!

Do mesmo jeito que eu acho que a Pedagogia e demais profissões ligadas à Educação são nobres para o Brasil, que possui um baixo desenvolvimento humano, eu também considero a área de Conscientização em Segurança, fundamental para a humanidade poder continuar se desenvolvendo e usufruindo cada vez mais das tecnologias de uma maneira mais tranquila.

A indústria da cibersegurança vem investindo cada vez mais recursos em pesquisa e desenvolvimento de tecnologias e novas ferramentas para cada vez mais melhorar a segurança e dar mais tranquilidade para organizações e pessoas, inclusive com Inteligência Artificial como sendo a solução para muitos problemas.

Porém, apesar de todo avanço, temos visto cada vez mais um crescente número de vítimas de golpes e ataques relacionados a phishing e engenharia social, que causam ransomware, roubo de dados, invasões, perda financeira,e etc, tanto para as organizações quanto para as pessoas.

Desse modo, não adianta investir dinheiro colocando as ferramentas das mais avançadas e caras, se quem vai escolher e operá-las são os humanos, que não recebem atenção e investimento em formação e desenvolvimento do mesmo nível que a tecnologia recebe. Como ter a melhor ferramenta construída, comprada ou implantada se o mindset do humano em segurança não é o adequado?

No alt text provided for this image — Figura 1. The Security Culture Playbook. Carpenter, Perry e Roher, Kai. EUA/2021.

A pesquisa mostrada na Figura 1, traz um número assustador que retrata bem a realidade que trago aqui neste artigo. Menos de 3% é gasto na camada humana da segurança, ou seja, com pessoas. Logo, podemos refletir se de fato os 97% que são gastos em outras áreas da segurança, estes podem não estar sendo investidos da melhor maneira possível, afinal, em média 85% dos incidentes remetem a falha humana e/ou despreparo humano.

Dessa forma, quem garante que essas escolhas são das melhores e mais apropriadas ferramentas se quem escolhe pode não ser preparado suficientemente para tal? Eu pessoalmente posso concluir duas coisas: 1. Os gastos em segurança são inadequados proporcionalmente falando, se considerados os riscos reais; e 2. Há uma grande oportunidade de atuação nessa área, que é a Camada Humana, ou em inglês, Human Layer.

Abaixo é apresentado um gráfico que mostra os Perímetros da Segurança Humana em Camadas.

Na prática, isso traz a seguinte sequência:

– Mensagem com assunto de interesse que chama atenção da pessoa

– Link falso por email, SMS, WhatsApp, e etc

– Usuário clica e coloca suas credenciais no site falso ou faz download de agente malicioso

– Atacante obtém credenciais e as utiliza na conta do usuário ou invade a estação

– Dados alterados ou roubados, empresa exposta, clientes prejudicados, etc.

Analisando, temos aqui algumas falhas que o humano poderia ter evitado:

– Usuário Vítima: Foi enganado pelo assunto e na sequência tomou a decisão insegura de clicar no link não percebendo ser phishing, colocando assim suas credenciais no mesmo ou ainda baixando algum aplicativo;

– Administrador de Rede/TI/Segurança: Não colocou proteção adequada de phishing no sistema de email; não colocou proteção de filtro de navegação eficiente na estação do usuário; não utilizou 2FA para o login que poderia inibir o uso da credencial pelo atacante.

– Área de Segurança: Não treinou/capacitou o usuário a identificar phishings e sites falsos, bem como, não digitar suas credenciais em páginas que não àquelas conhecidas. Também deixou liberado download e execução de aplicativos baixados.

No exemplo acima, vemos que o humano está envolvido em todo o ciclo, seja o malfeitor que criou o phishing usado na sua engenharia social; o colaborador da empresa que estava despreparado e foi vítima; o time de TI que deixou o sistema vulnerável; e o time de segurança que não criou controles eficientes para evitar este tipo de incidente/ataque, bem como não capacitou o usuário (vítima) suficientemente.

Então, tudo está relacionado aos humanos e por isso a importância Gestão de Riscos da Camada Humana de Segurança (Ou Human Risk) passar a fazer parte das áreas de Segurança das Organizações, com profissionais capacitados e dedicados a olhar para o assunto, criando uma governança capaz de conhecer, gerenciar e diminuir todos os riscos de segurança que podem ser causados pela camada humana.

Evoluindo ainda sobre o assunto, trago aqui uma sugestão de um processo de Gestão de Segurança da Camada Humana.

1. Mapa de Riscos e Impactos.

2. Antes de criar qualquer programa de conscientização, recomenda-se mapear as deficiências e comportamentos que trazem risco para a organização para que com base nessas informações, possa se passar para o ponto 2, que é o programa CCC.

1. Programa CCC – Conscientização, Comportamento e Cultura em Segurança

2. As ferramentas de Conscientização, podem e devem ser usadas com objetivos claros e mensuráveis.

3. Para isso, mapeie os padrões de comportamento dos usuários e os vetores de ataque e avaliar separadamente a suscetibilidade em cada área. Exemplo: Pode ser dividido em 4 frentes, sendo Phishings simulados de ferramentas internas; Phishings de Comunicações oficiais internas; Phishing de Parceiros Oficiais externos; e por fim phishing aleatórios e clássicos da Internet.

4. Ao conhecer onde seus usuários estão mais vulneráveis, por ter clicado mais e reportado menos, defina objetivos e planos individuais em cada área dessa.

5. Nesse momento entra o primeiro C, o da Conscientização (Awareness)

6. Sabendo onde se quer chegar, é preciso modelar os usuários através de todos recursos e ferramentas disponíveis nessa esfera.

7. Tudo que for executado, deve ter sido planejado para mudar o padrão de comportamento, pois este é que vai criar a cultura

8. Mudando-se o comportamento, a cultura será criada, pois esta existirá, quando o usuário estiver agindo naturalmente de forma segura, sem perceber.

Resumindo: Conscientização é ferramenta para modelar o comportamento que gerará a cultura de segurança e não é apenas o usuário final, mas todos da empresa, inclusive os times de Segurança e Tecnologia.

Ainda sobre o que chamo de modelagem, a melhor maneira de realizá-la são as atividades de phishing simulado e outras simulações, que acabam expondo os usuários a situações idênticas às reais para tomarem a decisão de clicar ou não clicar, reportar ao time de segurança, etc.

Realizar essa modelagem é como treinar atletas, quanto mais repetições, melhor, para na hora da partida ou do phishing real, execute-se de forma natural.

*Rodrigo Jorge é CISO e Cyber Security Advisor – CISM e SACP