A introdução de políticas, processos, tecnologias e modelos de educação em cibersegurança parece não ter uma fórmula secreta ou mesmo requer inteligência extraterrena para serem efetivas. Mas um passo é fundamental, e talvez um dos mais difíceis, que é mudar a cultura sobre o tema.
Creio que, quem tem filhos novos, principalmente abaixo de 10 anos, já ouviu ao menos falar da hilária animação digital “Pinguins de Madagascar”. Sim, aqueles pinguins malucos que aprontavam desde a série inicial Madagascar.
Mas o que estes pinguins têm que ver com mudança cultural e cibersegurança?
Pois bem, pensando sobre o tema, recordei de uma cena inicial do filme, aonde três pinguins, ainda filhotes, saem de uma fila interminável de aves, e avistam um ovo rolando. Um único ovo indo montanha a baixo e ficaram incrédulos que nenhum dos milhares de pinguins se moveram para salvar a pobre ave embrionária.
E a justificativa de um dos pinguins foi simples e bastante objetiva digamos assim: “este é apenas mais um ovo, é parte da natureza, perdemos alguns ovos todos os anos, não importa!” (trailer disponível aqui).
Eis que aí, um dos pinguins protagonistas da série, se rebela em uma atitude inusitada, e questiona o comportamento de todos e sai em busca para salvar o dito ovo. Claro, não sou especialista em pinguins e tão pouco o foco deste artigo tem a ver com estes shenisciformes (isto aí, este é o nome científico da família dos pinguins).
Mas, o que batizei de “efeito pinguim” tem relação com as implicações ligadas à natureza cultural que ainda recai quando falamos sobre o tema cibersegurança. Ou seja, não é uma opção ficar parado frente aos desafios atuais ou justificar que seus investimentos em tecnologia, ou mesmo atender aos requerimentos legais (como LGPD) são suficientes para se estabelecer uma cultura efetiva sobre o tema e manter suas empresas ilesas de potenciais ameaças.
Se você visitar agora a seção do site do World Economic Forum sobre o tema cibersegurança, você vai se deparar com o seguinte enunciado: “a previsão que a perda econômica devido ao cibercrime atinja 3 trilhões de dólares até 2020, e que 74% das empresas em todo mundo podem esperar ser hackeadas no próximo ano” (2019). Ou seja, o tema de segurança, definitivamente não pode estar ainda restrito a um grupo especializado de pessoas. Cibersegurança é um tema que afeta o cotidiano de todos os cidadãos e empresas.
Porém, o tópico que hoje parece ter entrado na pauta de executivos, especialmente de médias e grandes empresas, segue ainda limitado, por um lado à adoção de novas tecnologias, que parecem ser capazes de blindar as organizações de vetores externos contra os ataques e tentativas de intrusão mais avançados e sofisticados (e malignos, destrutivos, etc, etc), e por outro, capazes de mitigar hábitos e comportamentos internos através de erros não intencionais, ou não, por parte de funcionários, que venham a causar potenciais vulnerabilidades, brechas de segurança ou violação e exposição de dados sigilosos.
Porém, atuando nesta indústria há mais de uma década, pude acompanhar projetos exitosos e outros nem tanto assim, e estes, com resultados negativos, em geral estavam excessivamente focados na adoção de artefatos tecnológicos, acompanhados de um trabalho pífio no contexto de gestão de mudança sobre o tema. E na verdade, esta é sem dúvida uma realidade para uma grande maioria dos projetos. Os fluxos de investimento em segurança, seguem crescendo. Qualquer estudo descente aponta segurança como um dos três maiores vetores de investimento em TI, isto no Brasil, ou em qualquer economia mais desenvolvida.
Um estudo da realizado pela Mckinsey & Company corrobora a visão, de que sem um trabalho efetivo de gestão de mudança sobre o tema, as iniciativas relacionadas ao tema tendem ao insucesso. Com base em dados da VERIS Community, que mantém o registro de incidentes de segurança nos Estados Unidos, a consultoria identificou uma prevalência das ameaças internas como elementos centrais relacionados aos ciberataques. Aonde mais de 50% das violações estudadas, num universo de quase 8,000 incidentes, tinham um substancial fator interno, como a causa raiz.
Peter Druker sabiamente cunhou anos atrás a celebre frase: “a cultura come a estratégia no café da manhã”. Por mais inteligente e atual que pareça sua estratégia de segurança, enquanto não haja um trabalho de mudança comportamental efetivo sobre o tema, com uma grande tendência de acerto, você vai falhar em seus intentos.
Como comentei em outros artigos, as estratégias de segurança devem estar embebidas de positividade. Porém, a natureza árida do tema exige sim, uma revisão clara de hábitos e cultura para que que seja efetivas as mudanças habilitadoras vinculadas ao êxito de bons programas de segurança.
A mudança cultural torna menos provável a ocorrência de potenciais riscos. Porém as empresas geralmente seguem realizando treinamentos e processos de comunicação pontuais e fora totalmente do contexto e da realidade de processos e da cultura corporativa vigente.
Com muita frequência, segundo a própria McKinsey & Compay, eles se concentram apenas os aspectos comportamentais – instruindo os funcionários sobre os procedimentos cibernéticos adequados (faça isto, ou faça aquilo!) – e perdem a parte das atitudes e das crenças da equação relacionadas com o tema.
E como segurança geralmente afeta o uso de diferentes tecnologias e processos, os usuários precisam de repetição, principalmente para tarefas e responsabilidades que não são frequentes.
As ambiguidades sobre o tema, tornam a missão complexa, mas, como nesta narrativa, você tem duas opções, seguir o “fluxo da normal da natureza”, e esperar o próximo incidente de segurança ou erro humano, como aqueles pinguins olhando com naturalidade mais um ovo rolando morro abaixo, ou assumir uma atitude mais efetiva sobre mudança comportamental sobre o tema, com base em um processo recorrente e contínuo de comunicação e preparação de sua organização para um cenário ainda mais pessimista sobre o mundo da cibersegurança.
* Vladimir Alem é Executivo de Marketing com quase 20 anos de experiência, sendo os últimos 12 anos dedicados a apoiar o desenvolvimento de negócio de diversas empresas no mercado de segurança da informação. Responsável por escrever dezenas de artigos sobre o tema para diversos países da América Latina e palestrante em diversos importantes eventos desta indústria