A engenharia social figura no topo dos principais riscos humanos, segundo o Relatório de Conscientização do SANS Institute 2023. Um dos fatores surpreendentes apontado pelos especialistas não é o fato do tema ter encabeçado a lista, mas que ele tenha sido percebido com um risco maior em comparação com outros riscos humanos. Independentemente da identidade, nível de habilidade, recursos ou motivação do atacante cibernético, a engenharia social é uma das maneiras mais simples e eficazes para a maioria deles atingirem seus objetivos.
Mas por que o phishing ano a ano continua no topo de ameaças para as empresas, mesmo aplicando as melhores práticas de programas de conscientização, segmentando públicos, desenvolvendo treinamentos e diferentes meios de comunicação sob à luz de atividades educativas e lúdicas? Por que até mesmo as organizações que estão avançando na maturidade dos programas de conscientização – saindo da esfera comportamental para a cultural dentro das métricas apontadas pelo SANS – também sofrem esse tipo de ameaça? Uma das razões é o avanço da Inteligência Artificial (IA), que tem ajudado os atacantes nas técnicas para envolver as pessoas a tal ponto de elas tomarem uma ação indevida, como, por exemplo, dando mais veracidade nos e-mails capazes de fisgar e reter a atenção dos colaboradores das organizações.
Para se ter uma ideia, o “Data Breach Investigations Report (EUA)”, da Verizon, reportou que em 2023, 74% de todas as violações cibernéticas envolveram seres humanos, seja na forma de intenção maliciosa ou negligência, tornando as pessoas a causa mais significativa de violações. Embora isso seja 8% menor do que em 2022, os humanos ainda representam um alto risco para os dados de uma organização.
Isso significa que o tratamento desses riscos deve ser pautado não apenas em métricas recomendadas pelo NIST, SANS, ISO 27002, ISO 27005 e outros frameworks já conhecidos quando se trata de fator humano. Devemos repensar as práticas de melhorias contínuas de nossos programas efetivamente baseados em riscos cibernéticos, onde as organizações devem tratar o risco humano da mesma forma que qualquer outro identificado, como com o apoio de análises comportamentais de cada colaborador e desenvolver um plano de mitigação conforme o apetite ao risco de cada negócio.
Gente e cultura
Você já deve ter se perguntado muitas vezes porque os colaboradores não se engajam tanto quanto você gostaria nas ações educativas dos programas de conscientização, mesmo que tenha um arsenal de ferramentas que automatizam essas atividades. A resposta é: você sabe exatamente qual seria a melhor atividade para um grupo de pessoas? Esse entendimento é essencial para personalizar as ações educativas e hoje a maioria dos programas de conscientização em segurança da informação precisam desses indicadores, frutos desta identificação.
Ora, se estamos falando de pessoas versus engenharia social, devemos olhar com lupa para quem são elas, o que gostam, o que consomem, por que preferem uma coisa ou outra. Mas onde estão essas informações? Nas métricas da operação de cibersegurança? Não. No entanto, esse arcabouço de indicadores serve para aprimorar o programa de conscientização, ajudando a demonstrar onde estão os riscos de cibersegurança e como tratá-los em relação às pessoas se cruzarmos com diferentes bases até chegar no perfil e na melhor abordagem para mitigá-los.
Mas será que devemos nos concentrar apenas em métricas que comumente sustentam a melhoria contínua dos programas de conscientização? Segundo o Gartner, o fator humano apareceu entre as principais tendências de cibersegurança em 2023. O design de segurança centrado no ser humano prioriza o papel da experiência do colaborador — em vez de considerações técnicas isoladas — em todo o ciclo de vida do gerenciamento de controles. Baseando-se nas ciências comportamentais, experiência do usuário (UX) e disciplinas relacionadas, ajuda a minimizar o comportamento inseguro dos funcionários.
Além disso, outra recomendação é aprimorar a gestão de pessoas e mudar o foco para táticas de gestão de talentos centradas no ser humano para atrair e reter talentos. Quando os Chief Information Security Officers (CISOs) fazem isso, eles veem melhorias de maturidade funcional e técnica.
Portanto, atualmente uma das chaves de sucesso para mudar a cultura de segurança da informação é “beber” da fonte de experiência do colaborador, a partir das informações geradas pelos times de People Analytics, que extraem diferentes visões sobre as pessoas da organização para atingir diferentes objetivos, desde a retenção, desenvolvimento de carreira, pesquisas e análise do comportamento humano em modelos preditivos, acrescidos de dados sobre campanhas de phishing, treinamentos, talks, entre outros indicadores dos times de segurança da informação.
Utilizar diferentes estratégias e fontes de informação é fundamental para que os líderes em cultura de segurança da informação possam se beneficiar para atrelar métricas e indicadores de cibersegurança que dão a visão dos riscos, aumentando a maturidade de seus programas, saindo de um cenário educativo para um patamar de mudança cultural baseada em dados sobre quem e como direcionar as ações no sentido de tratar cada risco com soluções e conteúdos específicos, baseados na linguagem de cada área de negócio.
Conclusão
A Gestão de Risco Humano (GRH) é uma tendência que veio para ficar. Diante desse cenário, é imprescindível adotar o ciclo PDCA (Plan – Planejar, Do – Fazer, Check – Checar, Act – Agir), apoiado em métricas que devem ser constantemente auditadas para obter uma compreensão detalhada de cada posição onde está o colaborador, bem como níveis de acesso e potenciais riscos nos dados das empresas. Mesmo que a organização tenha um programa anual de conscientização, essa avaliação deve ser constante, respeitando uma periodicidade mensal, bimestral, trimestral ou semestral, a depender da métrica a ser avaliada.
As atividades devem ser planejadas de forma personalizada. Mesmo que a organização não disponha de ferramentas capazes de oferecer treinamentos e materiais educativos de forma automatizada, é importante avaliar a efetividade do planejamento. É essencial criar um programa de embaixadores a partir das áreas de negócios e ancorado pelo board. Um webinar padrão pode não ter efeito para o setor financeiro que tem uma necessidade e entendimento diferente do time de desenvolvedores, por exemplo. Nesse sentido, além dos embaixadores, os indicadores de People Analytics oferecerão insumos qualitativos sobre o que fazer para tratar os riscos sobre a perspectiva do fator humano.
É essencial verificar constantemente os indicadores das operações de gestão de acesso, cibersegurança, como o quão vulneráveis estão as senhas dos colaboradores e os compartilhamentos de dados, o quanto o canal de denúncia de mensagens suspeitas tem recebido reportes de incidentes de segurança da informação e reincidências de comportamento indevido, bem como aqueles que frequentemente têm tido um comportamento desejável, a partir de atitudes maduras sobre a defesa e proteção dos dados da empresa.
Por fim, a matriz de riscos deve ser continuamente atualizada e retroalimentada com essas informações em conjunto com o time de governança, que orquestra todos os riscos de segurança da informação e auxilia nas ações para sua tratativa.