A engenharia social figura no topo dos principais riscos humanos, segundo o Relatório de Conscientização do SANS Institute 2023. Um dos fatores surpreendentes apontados pelos especialistas não é o fato do tema ter encabeçado a lista, mas que ele tenha sido percebido com um risco maior em comparação com outros riscos humanos. Independentemente da identidade, nível de habilidade, recursos ou motivação do ataque cibernético, a engenharia social é uma das maneiras mais simples e eficazes para a maioria deles atingirem seus objetivos.
Mas por que o Phishing ano a ano continua no topo de ameaças para as empresas, mesmo aplicando as melhores práticas de programas de conscientização, segmentando públicos, desenvolvendo treinamentos e diferentes meios de comunicação sob à luz de atividades educativas e lúdicas? Por que até as mesmas organizações que estão avançando na maturidade dos programas de conscientização – saindo da esfera comportamental para a cultural dentro das opiniões apontadas pelo SANS – também sofre esse tipo de ameaça? Uma das razões é o avanço da Inteligência Artificial (IA), que tem ajudado os avançados nas técnicas para envolver as pessoas a tal ponto de elas tomarem uma ação indevida, como, por exemplo, dar mais veracidade nos e-mails capazes de fisgar e reter a atenção dos colaboradores das organizações.
Para se ter uma ideia, o “Relatório de investigações de violação de dados (EUA)”, da Verizon, informou que em 2023, 74% de todas as revelações cibernéticas envolvem seres humanos, seja na forma de intenção maliciosa ou negligência, tornando as pessoas a causa mais significativa de transparência. Embora isso seja 8% menor do que em 2022, os humanos ainda representam um alto risco para os dados de uma organização.
Isso significa que o tratamento desses riscos deve ser pautado não apenas em métricas avaliadas pelo NIST, SANS, ISO 27002, ISO 27005 e outros enquadramentos já conhecido quando se trata de fator humano. Devemos compensar as práticas de melhorias contínuas de nossos programas baseados em riscos cibernéticos, onde as organizações devem tratar o risco humano da mesma forma que qualquer outro identificado, como com o apoio de análises comportamentais de cada colaborador e desenvolver um plano de mitigação conforme o apetite ao risco de cada negócio.
Gente e cultura
Você já deve ter se questionado muitas vezes porque os colaboradores não se engajam tanto quanto você gostaria nas ações educativas dos programas de conscientização, mesmo que tenha um arsenal de ferramentas que automatizam essas atividades. A resposta é: você sabe exatamente qual seria a melhor atividade para um grupo de pessoas? Esse entendimento é essencial para personalizar as ações educativas e hoje a maioria dos programas de conscientização em segurança da informação precisa desses indicadores, frutos desta identificação.
Agora, estamos falando de pessoas contra engenharia social, devemos olhar com lupa para quem são elas, o que gosta, o que consome, por que queira uma coisa ou outra. Mas onde estão essas informações? Nas análises da operação de cibersegurança? Não. No entanto, esse arcabouço de indicadores serve para aprimorar o programa de conscientização, ajudando a demonstrar onde estão os riscos de cibersegurança e como tratá-los em relação às pessoas se cruzarmos com diferentes bases até chegar no perfil e na melhor abordagem para mitigá-los .
Mas será necessário nos concentrarmos apenas em estatísticas que comumente sustentam a melhoria contínua dos programas de conscientização? Segundo o Gartner, o fator humano apareceu entre as principais tendências de cibersegurança em 2023. O design de segurança centrado no ser humano priorizar o papel da experiência do colaborador — em vez de considerações técnicas isoladas — em todo o ciclo de vida do gerenciamento de controles. Baseando-se nas ciências comportamentais, experiência do usuário (UX) e disciplinas relacionadas, ajuda a minimizar o comportamento inseguro dos funcionários.
Além disso, outra recomendação é aprimorar a gestão de pessoas e mudar o foco para estratégia de gestão de talentos centrados no ser humano para atrair e reter talentos. Quando os Diretores de segurança da informação (CISOs) fazem isso, eles defendem melhorias de atualização funcional e técnica.
Portanto, atualmente uma das chaves de sucesso para mudar a cultura de segurança da informação é “beber” da fonte de experiência do colaborador, a partir das informações geradas pelos tempos de Análise de Pessoas, que extraem diferentes visões sobre as pessoas da organização para atingir diferentes objetivos, desde a manutenção, desenvolvimento de carreira, pesquisas e análise do comportamento humano em modelos preditivos, acréscimos de dados sobre campanhas de Phishing, treinamentos, negociações, entre outros indicadores dos tempos de segurança da informação.
A utilização de diferentes estratégias e fontes de informação é fundamental para que os líderes em cultura de segurança da informação possam se beneficiar para atrelar análises e indicadores de cibersegurança que dão a visão dos riscos, aumentando a maturidade de seus programas, saindo de um cenário educativo para um nível de mudança cultural baseado em dados sobre quem e como direcionar as ações no sentido de tratar cada risco com soluções e conteúdos específicos, com base na linguagem de cada área de negócio.
Conclusão
A Gestão de Risco Humano (GRH) é uma tendência que veio para ficar. Diante desse cenário, é necessário adotar o ciclo PDCA (Planejamento – Planejar, Do – Fazer, Verifique – Checar, Aja – Agir), apoiado em análises que devem ser constantemente auditadas para obter uma compreensão detalhada de cada posição onde o colaborador está, bem como níveis de acesso e riscos potenciais nos dados das empresas. Mesmo que a organização tenha um programa anual de conscientização, essa avaliação deve ser constante, respeitando uma periodicidade mensal, bimestral, trimestral ou semestral, a depender da métrica a ser avaliada.
As atividades devem ser planejadas de forma personalizada. Mesmo que a organização não disponha de ferramentas capazes de oferecer treinamentos e materiais educativos de forma automatizada, é importante avaliar a efetividade do planejamento. É essencial criar um programa de embaixadores a partir das áreas de negócios e ancorado pelo borda. Um webinar padrão pode não ter efeito para o setor financeiro que tem uma necessidade e entendimento diferente do tempo dos desenvolvedores, por exemplo. Nesse sentido, além dos embaixadores, os indicadores de Análise de Pessoas São insumos qualitativos sobre o que fazer para tratar os riscos sobre oferecer a perspectiva do fator humano.
É essencial verificar constantemente os indicadores das operações de gestão de acesso, cibersegurança, como as questões vulneráveis estão as senhas dos colaboradores e os compartilhamentos de dados, o quanto o canal de denúncia de mensagens suspeitas tem recebidas relatos de incidentes de segurança da informação e reincidências de comportamento indevido, bem como aqueles que frequentemente tiveram um comportamento indesejado, a partir de atitudes maduras sobre a defesa e proteção dos dados da empresa.
Por fim, uma matriz de riscos deve ser continuamente atualizada e retroalimentada com essas informações em conjunto com o tempo de governança, que orquestra todos os riscos de segurança da informação e auxilia nas ações para seu tratamento.