Conscientização em Segurança da Informação é importante e eficaz

Antes de ler este artigo, recomendamos ler “Conscientização em Segurança da Informação: Os desafios de despertar a participação ativa na segurança de uma corporação”

 

Vimos anteriormente que, em um cenário de aumento de ataques cibernéticos envolvendo phishing, a conscientização para a segurança da informação é uma ferramenta que tem um grande potencial para beneficiar as organizações.

 

Funcionários conscientes do valor das informações (pessoais e corporativas) e de seu papel na proteção desse ativo, agem como uma camada de proteção que diminui a possibilidade de sucesso de ataques que poderiam levar a vazamentos de dados – seja da empresa, seja de colaboradores, seja de clientes.

 

Quanto mais conscientes desse papel, mais os membros da organização estarão atentos a ataques, mais estarão dispostos a participar de treinamentos, a buscar novos conhecimentos por conta própria e até, eventualmente, a propor novas medidas de segurança. Infelizmente, é preciso dizer que nem sempre é assim.

 

Conscientização e treinamento em segurança da informação não são garantias de que pessoas e organizações estarão seguras 100% do tempo, simplesmente porque pessoas não são à prova de falhas. E isso leva muitos especialistas a questionar a eficácia – e até a necessidade – dos treinamentos e da conscientização em segurança da informação. Entre eles está Dave Aitel, CEO da empresa de segurança Immunity Inc.

 

Dave observa que mesmo a mais interessada e treinada das pessoas está sujeita a cometer erros:

“Quando até altos executivos de empresas como Google, RSA, Adobe, Facebook, eBay e outras organizações tecnologicamente sofisticadas são alvo de ataques de phishing, isso não sugere que mesmo pessoas treinadas e com conhecimento podem cair em golpes?”

 

Um caso recente serve para ilustrar a crítica: Chris Hadnagy – um dos primeiros especialistas em segurança a estudar e classificar técnicas de engenharia social – foi vítima de phishing. Em uma entrevista para um videocast da AT&T ele conta como foi levado a clicar em um link enviado por e-mail, cujo rementente fazia-se passar pelo site de compras Amazon, do qual Chris é cliente assíduo:

“Eu estava meio estressado e não prestei atenção no link. Só depois que o site abriu no browser que eu prestei atenção na barra de endereços e vi que a URL terminava com ‘.com.ru’, ou seja, era um site hospedado na Rússia, que não tinha nada a ver com a Amazon”.

Chris é o tipo de profissional do qual ninguém esperaria um comportamento de risco, mas mesmo assim ele esteve a poucos segundos de entregar seus dados pessoais.

 

O Paradoxo Humano

El_Pescador_awareness2_blog02

Enquanto fazia pesquisas para o livro Into the Breach, o especialista Michael Santarcangelo – a quem já citamos no texto anterior – concluiu que vazamentos de informações são um “sintoma” de um problema maior de segurança da informação. Como boa parte dos analistas, ele inicialmente entendeu que o problema estava no elo mais fraco: as pessoas; mas sua pesquisa o levou a concluir que a origem do problema estava em um paradoxo:

“Indivíduos têm sido sistematicamente (ainda que de forma não-intencional) desconectados das consequências de seus atos. Isso resulta em um desafio: as pessoas não se sentem mais responsáveis [pela segurança] e é praticamente impossível responsabilizá-las”

Essa desconexão, segundo Michael, teria começado na última década. O constante avanço da tecnologia e o aumento da percepção da importância da segurança da informação tornou difícil até para os profissionais da área se manterem atualizados. Orçamentos reduzidos, soluções técnicas complexas e alta dose de estresse cotidiano levaram a ações que tiraram os colaboradores “comuns” da equação da segurança, simplesmente porque era tudo “complicado demais para que todos entendessem”.

“Acabamos dizendo para as pessoas que segurança é difícil, complexo e algo pelo qual elas não são responsáveis”.

O que, de fato, não deixa de ser verdade, como veremos a seguir.

 

O papel do usuário em um ambiente extremamente complexo

 

No artigo O Papel do Usuário, publicado originalmente no livro “Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados”  o jornalista Altieres Rohr endossa o argumento. Ele observa que os usuários estão cada vez mais sendo colocados em situações de tomada de decisão que não deveriam ser suas.

“Navegadores de internet colocam o internauta nessa situação o tempo todo: a página tem elementos que podem não ser seguros; deseja carregá-los? O certificado de SSL é inválido; tem certeza de que deseja continuar? Esta página web está tentando acessar sua câmera ou microfone; deseja continuar? Este site está tentando instalar um plug-in; deseja continuar? Esta página quer executar um applet não-assinado; executar?”

A análise e o gerenciamento dos riscos de uma empresa sofrer um ataque, segundo ele, não deveriam ficar nas mãos do usuário porque este “não deve ser colocado em uma situação na qual ele deve analisar o risco. Afinal, você iria querer que um usuário autorizasse o acesso a um site “seguro” com um SSL inválido?”

 

Ou seja, a responsabilidade não deveria ser do usuário, porque as pessoas não são o problema. Elas são humanas e, como tal, sujeitas a emoções capazes de obscurecer seu julgamento.

 

Culpar os usuários pelos problemas de segurança das empresas, seria uma forma de tirar dos departamentos de TI e de segurança a responsabilidade pela proteção das informações corporativas, segundo defendem os críticos dos treinamentos em conscientização para segurança.

 

Vale mais investir em outros aspectos da segurança?

Bruce Schneier, um dos maiores especialistas em segurança da informação da atualidade, escreveu um texto em 2013 em que afirmava que treinamentos em segurança da informação devem ser oferecidos para especialistas. Numa de suas críticas, Schneier defende o uso de treinamento para desenvolvedores e não para usuários finais:

“Devemos gastar mais dinheiro ensinando segurança para os desenvolvedores. Essas são as pessoas que devem aprender sobre isso, e esse é o lugar onde aumentar a conscientização irá melhorar a segurança do sistema como um todo”

Argumentos semelhantes levantados por Santarcangelo e Rohr sugerem que usuários comuns não são especialistas, estão desconectados da complexidade dos sistemas de informação. E, justamente por essa complexidade, não conseguem relacionar suas ações aos resultados.

 

Em contrapartida, o CTO do El Pescador, Rafael Silva, acredita que este cenário está longe da realidade. E o usuário final ainda é o principal alvo.

El_Pescador_awareness2_blog03

“No mundo ideal, ele [Schneier] estaria certo, pois sempre vai ter um atacante sofisticado o suficiente pra fazer o usuário mais bem treinado do mundo cair. Mas o que acontece na vida real é que muitas empresas estão sendo invadidas por ataques simples, nada sofisticados e totalmente evitáveis – caso os usuários tivessem sido treinados. O treinamento é capaz de gerar mudança no comportamento de todos”, aponta Silva.

Assim como Firewall, Antispam, Antivirus, etc. Conscientização em Segurança [ou Security Awareness] é uma parte mandatória em qualquer processo de Segurança da Informação.

 

De fato, humanos são falhos, e a sentença é válida para todos os componentes de uma organização. Justamente por isso é preciso ter cuidado para não jogar fora a criança com a água do banho.

 

Treinamentos e programas de conscientização não são elementos desprezíveis nas políticas de segurança da informação. Na verdade, existem dados que comprovam sua eficácia.

 

Uma pesquisa sobre cibercrime elaborada pela consultoria Pricewaterhouse Coopers em 2014 demonstrou que, dentre as empresas pesquisadas, companhias que não investiram em conscientização para a segurança da informação tiveram uma perda anual média de US$ 683 mil em ataques cibernéticos. Em comparação, empresas que investiram nesse tipo de treinamento perderam, em média US$ 162 mil em ataques.

 

O El Pescador busca ativamente criar a conscientização em seus programas de treinamento, expondo o colaborador a situações reais de ataque, de modo a fazê-lo perceber a importância de todos na segurança da empresa. Além disso, os conteúdos são constantemente revistos e atualizados de modo a refletir a realidade com a maior fidelidade possível.

 

Em nosso próximo artigo sobre o tema iremos nos aprofundar nesse argumento, trazendo mais informações que comprovam o quando um processo de conscientização pode trazer bons resultados para as empresas.

 

 


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*