Segurança é uma preocupação intrínseca a todo e qualquer processo executado pelo ser humano. No mundo cibernético, mesmo os CISOs lidando com cenários mais adversos de ataques, vazamentos, respostas a incidentes e pressão por inovação, o elemento humano é, sem dúvida, o mais desafiador.
Há anos, as rodas de conversas e debates falam de inúmeros desafios e pontos a serem melhorados, mas as discussões sempre esbarram no elo mais fraco: a pessoa. Mas de que maneira a comunidade de Segurança da Informação tem lidado com isso? Como virar o jogo e tornar o elemento humano o elo mais forte da cadeia?
Vaine Barreira é um especialista em Segurança com passagens em diversas empresas do setor. Recentemente, ele aceitou o desafio de ir para Porto, Portugal, a fim de atuar na conscientização e cultura da Segurança na Faurecia, uma das maiores empresas europeias da indústria automotiva. O executivo fala com exclusividade à Security Report sobre como tem trabalhado para tornar os ambientes mais seguros por meio de um equilíbrio entre tecnologia, processos e pessoas.
Security Report: A comunidade de Segurança dá pouca atenção para a importância de se trabalhar o elemento humano?
Vaine Barreira: Sem dúvida alguma o elemento humano é hoje (ou deveria ser) o principal foco da Segurança da Informação nas empresas. Engenharia social e “phishing” são responsáveis por 70% a 90% de todas as violações de dados, enquanto software sem atualizações respondem por 20% a 40%, e o restante representa apenas 1% dos incidentes.
Mesmo com esses números, o conhecido tripé tecnologias, processos e pessoas continua com pouca atenção na parte humana. Quantas empresas possuem uma área de “Security Awareness” estruturada? Com equipes e processos implementados e orçamento definido? Infelizmente ainda poucas.
Security Report: Por isso os investimentos são mais concentrados em tecnologia e menos em conscientização?
Vaine Barreira: Os colaboradores são a última linha de defesa, sempre que todas as outras camadas de segurança baseadas em tecnologia são contornadas. A visão ainda é do fator humano como elo mais fraco na cadeia de segurança, por isso o investimento sem fim em hardware e software.
Security Report: De que maneira podemos tornar o ser humano o elo mais forte e não o mais fraco com se fala há anos na Segurança da Informação?
Vaine Barreira: Para transformar o fator humano no elo mais forte, é necessário investir em cultura de segurança e isso demanda mudança de comportamento das pessoas, o que é uma tarefa nada simples.
Existem três realidades na conscientização de segurança:
1. Só porque estou ciente não significa que me importo;
2. Se você tentar trabalhar contra a natureza humana, com certeza irá falhar;
3. O que os colaboradores fazem é muito mais importante do que eles sabem.
Security Report: Você acredita que toda comunidade de Cybersecurity (players da indústria, área acadêmica e profissionais como CISOs e gestores) fala a mesma língua quando se trata de “humanologia”?
Vaine Barreira: Enquanto consultor em empresas de tecnologia, sempre atuei como evangelista do balanceamento da equação tecnologia, processos e pessoas. Como também fazia parte da área acadêmica, era comum abordar o tema de educação e fator humano.
Nunca acreditei em “bala de prata”, ou seja, numa solução que endereçasse todos os problemas de segurança. Agora estou do lado usuário e minha missão é transformar as pessoas em mais uma camada de segurança na empresa.
Acredito que agora a comunidade começa a olhar o fator humano com mais atenção, a fim de entender que não adianta somente gastar com tecnologias sem se preocupar também com a cultura de segurança.
Security Report: Como elemento humano segue sendo o calcanhar de Aquiles dos sistemas de segurança, você acredita que as tecnologias estão sendo desenvolvidas para corrigir uma eventual falha humana?
Vaine Barreira: Acredito que a automação pode ajudar a reduzir questões de falhas humanas. As novas soluções baseadas em comportamento humano também tendem a contribuir. Produtos como UEBA (User and Entity Behavior Analytics) usam aprendizado de máquina e inteligência artificial para analisar dados históricos e determinar padrões de comportamento humano em tempo real.
Os UEBAs fazem análises preditivas que podem ajudar a descobrir anomalias de indicadores de riscos de segurança conhecidos ou desconhecidos. Como foca mais em eventos individuais e menos em eventos de sistemas, como é o caso do SIEM, o UEBA oferece uma camada de segurança importante para ajudar a contextualizar os dados coletados. Tecnologias baseadas em comportamento complementam e aprimoram soluções de logs, como o SIEM.
Security Report: Ou seja, o trabalho segue no tripé de processos, tecnologias e pessoas?
Vaine Barreira: Sim. Um bom programa de conscientização das pessoas sobre segurança continua vital. A conscientização tem tudo a ver com construir força e memória motora. A única maneira de obter resultados consistentes que ajudarão a interromper a engenharia social e os erros dos colaboradores é através de treinamento frequente e consistente.
O equivalente físico a isso é a academia. Você não entra em forma se exercitando apenas uma vez ao ano ou mesmo uma vez ao trimestre. A única maneira de criar mudanças a longo prazo é fazer do exercício parte do seu estilo de vida.
Security Report: De que maneira você trabalha o risco humano em Segurança na Faurecia?
Vaine Barreira: Trabalhamos através do desenvolvimento de cultura de segurança, mais ainda na cultura positiva, onde o foco é premiar e incentivar as pessoas por bons comportamentos e não em punir as más ações. Quando as pessoas têm medo de mostrar seus erros, elas os escondem, mas o objetivo deve ser sempre a transparência. Gosto muito da expressão: “If you see something, say something!”.
A cultura de cibersegurança refere-se ao conhecimento, crenças, atitudes, normas e valores das pessoas em relação à segurança e como elas se manifestam na interação com as tecnologias da informação. A ideia por trás desse conceito é tornar o tema parte integrante da vida diária das pessoas. É mais fácil adotar hábitos seguros quando percebem que a ação é essencial para elas na vida pessoal tambem e não apenas para a empresa.
Trabalhamos numa equipe multidisciplinar onde o grande desafio é a diversidade cultural da empresa, com mais de 115 mil colaboradores de 102 nacionalidades diferentes, espalhados por mais de 300 sites em 37 países.
Security Report: Quais seriam os pontos de maior reflexão em elemento humano na Segurança?
Vaine Barreira: Como vimos, SI envolve o tripé: tecnologia, processos e pessoas. O problema com as tecnologias tem relativa facilidade para ser endereçado. É identificar um novo problema, modelar a solução e implementá-la. O problema com os processos requer um trabalho mais holístico. É monitorar ciclos de operação, estudar o comportamento deles, mapear os pontos de falha e então reescrevê-los.
O problema com as pessoas é tão mais complexo quanto tentar entender o nosso próprio cérebro. Somos caixas complexas, únicas, individualizadas e influenciadas pelo ambiente, pelas informações, pelos valores, sonhos e desejos. Melhorar a segurança da informação passa hoje por entender melhor o comportamento humano.
Algumas dicas para um bom programa de conscientização:
- Utilize algum modelo de maturidade para visualizar em que ponto está a cultura de segurança da empresa;
- Para cada ação de conscientização, passe por esses cinco passos: analisar, planejar, implantar, medir e otimizar;
- Adote sempre uma cultura positiva de segurança, onde o objetivo final é a mudança de comportamento;
- Considere sempre a cultura e o apetite de risco da empresa, e trabalhe com públicos segmentados;
- Para maior engajamento, o conteúdo precisa ter relevância para a vida digital do colaborador;
- Tenha objetivos e métricas claras para cada ação. Métricas para “compliance” são importantes (quem, quantas pessoas, etc.), mas métricas de comportamento são ainda melhores (diminuição dos incidentes de segurança, melhoria nos resultados de simulações de “phishing”, etc.), porém, mais difíceis de medir;
- Repetição e reforço são fundamentais. Técnicas de “micro-learning” e “gamification” podem ajudar no engajamento.