* por Rodrigo Jorge
É bem verdade que a Conscientização de Segurança, ou Security Awareness, é bem recente no mercado e com seu avanço, ela tem trazido notoriedade para o assunto e aberto cada vez mais espaço para as suas respectivas áreas dentro das organizações.
O ditado “É melhor do que nada”, que é bem comum em nosso dia a dia também deve ser bem comum na área, mas é preciso ter muito cuidado com a falsa ilusão de segurança. As organizações, em sua maioria, acabam por realizar atividades de conscientização para atender requisitos de conformidade com políticas internas, regulações, certificações, dentre outras. Porém, o objetivo principal dessa atividade, é realmente trazer segurança para a organização, através do treinamento dos usuários, fazendo com que eles tomem decisões mais seguras.
Para que os programas de Security Awareness sejam bem-sucedidos, é preciso que diversas ciências sejam aplicadas a ele, dentre elas a Cognitiva e a Ciência de Dados, onde a primeira vai permitir analisar o comportamento dos usuários e moldá-lo conforme o desejado pelo programa, sempre seguindo a linha de que um comportamento mais seguro – decisões mais seguras, ocorra por parte das pessoas e a ciência de dados, que permite analisar onde se está e acompanhar o desempenho no aonde se quer chegar.
Exemplo de sobreposição de dados nas fases do modelo de maturidade de segurança – Fonte: The Security Culture Playbook; Carpenter, Perry and Roher, Ka; EUA – 2022.
Para isso, pode-se seguir o modelo de maturidade de segurança, proposto por Perry Carpenter e Kai Roer, que conforme visto acima, sugere diversos níveis de cultura de segurança, devendo ser o último da direita, aquele que deverá ser perseguido pelos gestores e executores do programa de segurança. E como começar? O que podemos aprender com os dados que já temos?
Para isso, indicadores devem ser criados e acompanhados, individuais e coletivos, que permitirão conduzir o programa de uma maneira efetiva no atingimento do seu objetivo, que é a elevação da maturidade de segurança a um nível sustentável. Nele os usuários clicarão menos e reportarão mais, agindo de forma natural, sem que seja necessário estar treinando o tempo todo.
Sim, mas e sobre o título desse artigo? Pois bem, o que tenho observado nas organizações, é a utilização de atividades isoladas, programas pontuais e ferramentas que estão de fato fazendo um bom “barulho” e trazendo uma ótima e importante visibilidade para o tema através de dias de ações tais quais: Dia da Segurança, Semana da Segurança, Treinamentos gravados estáticos, Gamificação, Premiações, dentre outros recursos, e que de fato trazem um certo glamour e notoriedade para o assunto. São comuns as postagens e celebrações de empresas e colaboradores nas redes sociais com eventos, certificados, prêmios, dentre outras conquistas.
Mas a pergunta que eu faço é? Sim, mas e o resultado final? Será que esses usuários estão tomando decisões seguras? Será que seu comportamento está sendo moldado? E a resposta é: provavelmente não. Com uma simples simulação de phishing é possível comprovar o que estou falando por ter vivido situações reais como essa na minha carreira profissional.
Há um ensinamento na área da ciência cognitiva que diz: Não importa o que as pessoas saibam, mas sim como elas agem e que foi muito bem trazido e colocado pelo Perry Carpenters no livro Transformational Security Awareness. Ele também traz outro ponto, que faz muito sentido para a esta atividade que é: “Just because I’m aware, does not mean that I care” que traduzido, temos: “Não é porque eu estou consciente, que eu me importo”.
Daí, diante desse cenário, será que obrigar usuários a assistirem vídeos longos e monótonos e depois participarem de gamificação sobre aqueles conteúdos vai dar resultado prático na decisão segura do usuário? Se o usuário mesmo consciente, não se importa, será que ele vai agir de modo seguro? A minha preocupação com este cenário, é que organizações e profissionais podem estar fazendo que acreditam ser suficiente, quando na verdade não.
Certamente há uma falsa sensação de segurança, que é ofuscada pela visibilidade dos programas e atingimento de conformidade com as regulações e políticas. Essas ações, devem ser só uma parte do Awareness.
Um programa efetivo, vai utilizar ferramentas de treinamento e modelagem baseada em simulações e mais simulações de ameaças reais, fazendo o usuário errar e acertar o tempo todo, buscando aumentar o índice de acerto para níveis mais e mais altos e o phishing simulado é o melhor caminho, juntamente com a opção de usuários reportar os phishings suspeitos identificados. Vejam que é uma ação prática e não teórica.
Na hora do phishing real, o usuário não vai se lembrar da teoria estudada e gamificada, a ação segura, a decisão segura, deve ser tomada de maneira automática. A sensação do erro, da falha é mais importante que o acerto no treinamento, pois ela causa uma proteção automática mental em função da frustração e dor causadas.
Para um jogador profissional chegar ao ápice do seu esporte, ele precisa praticar muito para na hora do jogo, ter um índice de acerto acima da média que o levará a vencer as suas partidas. Para isso, ele repete suas jogadas e golpes dezenas, centenas e até milhares de vezes.
André Agassi, que foi um dos maiores tenistas, diz que por dia praticava milhares de vezes o mesmo golpe, contra um robô apelidado de dragão, que o seu pai construiu para automatizar esse processo de treino e aprendizagem. Lá ele podia e devia errar, para ver onde errou e aprimorar os seus golpes de modo que no jogo, tudo ocorresse o mais certeiro possível e de forma automática de tantas vezes que ele já praticou o acerto.
Grandes jogadores afirmam que aprendem mais na derrota do que na vitória e os mais bem sucedidos, geralmente falam que quando acaba a partida em que foi derrotado, ele já está pensando nos erros que não deve cometer na próxima partida, como uma forma de motivação e foco.
Portanto, um programa de conscientização deve ter práticas reais e um acompanhamento por números e para isso, o modelo CCC – Conscientização, Comportamento e Cultura em Segurança é o caminho para qualquer profissional de segurança responsável por isso na sua empresa, obter sucesso e construir a tão desejada e necessária Cultura de Segurança. Para isso, as ações vão muito além do oba-oba e são planejadas, executadas e acompanhadas em forma de ciência, ou seja, Data Driven Program.
*Rodrigo Jorge é CISO e Cyber Security Advisor – CISM e SACP
