Aprendizado e descoberta 7min de Leitura - 29 de maio de 2020

Fator humano: Uma lacuna não tratada na segurança digital

Homem de terno preto digitando em um notebook.

This post is also available in: Português Español

Operações de segurança digital de alta confiabilidade trazem o fator humano como uma camada crítica de defesa.

No final de 2017, um funcionário da Maersk, o maior conglomerado de remessas do mundo, viu as telas dos computadores repentinamente ficarem pretas e travarem irreversivelmente.

Isso aconteceu porque um malware altamente avançado explorava os computadores da empresa na Ucrânia, que estava sem os últimos patches de segurança do Microsoft Windows.

O worm violou o sistema de tecnologia da empresa e bloqueou o acesso a todos os computadores e servidores em todo o mundo. Isso interrompeu as operações de remessa por vários dias.

Esse incidente custou à Maersk nada menos que US $ 200 milhões em receita perdida, além de causar custos não quantificados em bens perecidos e esforços de recuperação. Junto a isso, também houve uma grande quantidade de clientes insatisfeitos.

O que aconteceu com a Maersk é comum. Em 2015, cerca de 80 milhões de dados de clientes foram roubados da Anthem porque um funcionário inocentemente respondeu a um e-mail de phishing. Em 2017, o Serviço Nacional de Saúde do Reino Unido sofreu um ataque de ransomware que resultou em 19.000 compromissos cancelados devido ao uso, mais uma vez, de uma versão desatualizada e sem patch do Microsoft Windows.

Já em 2019, os dados de 106 milhões de clientes da Capital One foram roubados por meio de um firewall mal configurado.

Esses são apenas alguns exemplos, pois a lista continua e não é pequena.

Com a cibersegurança no topo da agenda corporativa, ser vítima de uma violação catastrófica é o temido cenário de pesadelo.

Em meio a pandemia da COVID-19, com o aumento repentino de acordos de trabalho remoto, os crimes digitais estão aumentando drasticamente.

Cada vez mais CEOs tem a obrigação de imprimir esforços para evitar incidentes digitais e mediante este fato a pergunta que paira é: como?

Fazer uso de tecnologias mais avançadas é uma resposta comum, mas mesmo isso não teria impedido o incidente da Maersk, onde uma pequena falha humana – não instalando uma atualização de software – levou a consequências catastróficas.

Claramente a tecnologia é o foco do investimento da indústria e prevê-se que esses gastos sejam de US $ 133 bilhões por ano até 2022. Mas, embora a escolha da tecnologia certa seja essencial, a maioria dos incidentes se refere a lacunas no fator humano, um problema persistente e muitas vezes esquecido na segurança digital na maioria das organizações.

Sem abordar a questão do fator humano, um ciclo vicioso se perpetua. Quando as empresas incorporam novas tecnologias, elas também adicionam mais pessoas e processos correspondentes.

Enquanto isso continuar, as interações entre tecnologia, processos e pessoas se acumulam, e o nível de complexidade aumenta geometricamente. Em algum momento, essa complexidade sobrecarrega a infraestrutura de segurança digital e obscurece as ameaças emergentes – até que, sobrecarregada pelos sistemas legados, a empresa se vê menos ágil do que os cibercriminosos, e ocorre um ataque.

Em resposta, a empresa procura o patch tecnológico para essa ameaça específica e o ciclo se repete.

Operação de segurança digital de alta confiabilidade

Fechar a lacuna do fator humano – incorporando novos comportamentos e entendimento compartilhado como parte da cultura e do curso normal dos negócios – não é uma tarefa pequena, mas é a melhor defesa contra ciberataques.

Existe um análogo para abordar esse tipo de risco e alavancar o fator humano como uma camada crítica de defesa: a organização de alta confiabilidade (HRO), que pode ser definida como uma organização que tem um número notavelmente baixo de percalços consistentemente ao longo de um período sustentado e executa tarefas altamente complexas e inerentemente perigosas.

O conceito HRO surgiu de práticas originadas há mais de 60 anos com o Programa de Propulsão Nuclear Naval dos Estados Unidos, que reconheceu a necessidade de práticas organizacionais únicas para colocar um reator nuclear altamente complexo em um barco, no fundo do oceano, e operá-lo com segurança com uma tripulação jovem de marinheiros.

Isso significava evitar a cultura militar tradicional que existia há séculos: siga as ordens, faça o que for solicitado e não faça perguntas.

Após a perda da NASA pelo ônibus espacial Columbia, o Conselho de Investigação de Acidentes considerou a marinha nuclear dos Estados Unidos o modelo mais importante para uma organização de alta confiabilidade.

Mais tarde, as ideias de HRO ganharam destaque como parte da resposta do setor de energia à crescente complexidade e catástrofes como o desastre de Deepwater Horizon e depois se espalharam para os campos da saúde, manufatura e agora segurança digital.

HROs são diferentes de não-HROs de três maneiras específicas:

Atenção

HROs exibem desconforto crônico – um estado de hipervigilância e vigilância para os primeiros sinais de perigo.

Responsabilidade

As HROs identificam problemas emergentes cedo e respondem rapidamente para interromper o desenvolvimento do incidente.

Capacidade de aprendizagem

As HROs aprendem com todos os eventos e disseminam rapidamente o conhecimento para melhorar o sistema.

Na marinha nuclear dos EUA, isso significa que todo submarino que vai para o mar representa as lições acumuladas de mais de 6.200 anos de operação da planta do reator.

Essas características de um HRO foram bem estudadas e bem caracterizadas, mas menos compreendidos são os pilares do programa. Os pilares operacionais individuais que, quando promulgados, coletivamente resultam no desempenho superior de um HRO.

Esses pilares são formalidade, nível de conhecimento, integridade, atitude de questionamento e backup ativo da equipe.

As operações de alta segurança digital (HRCOs) empregam os mesmos pilares HRO para fechar a lacuna de fator humano e adicionar uma camada adicional crítica de cibersegurança.

Já faz tempo que a segurança digital deixou de ser responsabilidade exclusiva do departamento de TI para ser responsabilidade de todos.

Pilares HRO e sua aplicação na segurança digital

A aplicação dos cinco pilares das organizações de alta confiabilidade pode ajudar uma organização a tornar-se uma operação de segurança digital de alta confiabilidade.

Formalidade

  • As pessoas devem seguir procedimentos autorizados (não soluções alternativas);
  • Devem se comunicar de maneira disciplinada para garantir que as informações sejam consistentes e confiáveis.

Aplicação na HRCO:

  • Existem processos para gerenciar identidades, contas e informações privilegiadas;
  • As regras são claras sobre por que privilégio é conferido, quem é responsável e como é revisado.

Nível de conhecimento

  • As pessoas não devem entender apenas o que fazem, mas também o porquê fazem;
  • Expandem continuamente sua compreensão dos sistemas, processos e perigos ao seu redor.

Aplicação na HRCO:

  • Usuários compreendem a facilidade com que as senhas podem ser comprometidas e o risco de acesso não autorizado;
  • Todos usam senhas fortes únicas e cofres de senhas e suporta alterações periódicas de senha.

Integridade

  • Pode-se confiar nas pessoas para fazer o que elas dizem que vão e o que se espera delas;
  • Se responsabilizam e a outros.

Aplicação na HRCO:

  • Os funcionários operam voluntariamente dentro das políticas de segurança e usam as ferramentas conforme projetadas/pretendidas;
  • Eles fazem isso mesmo que isso mude a forma como eles trabalham (usando dispositivos fornecidos pela empresa, limitando downloads ou acesso, backups regulares, etc.).

Atitude questionadora

  • As pessoas antecipam problemas e estão alertas a condições incomuns;
  • Sempre perguntam: o que poderia dar errado? O que mudou? O que eu ou os outros podemos estar perdendo?

Aplicação na HRCO:

  • Dadas as limitações dos filtros antivírus, os funcionários têm um mal-estar crônico com a validade dos e-mails;
  • Os funcionários verificam as URLs antes de clicar nos links e suspeitam de solicitações de informações de identificação pessoal.

Backup de equipe ativo

  • As pessoas cuidam ativamente uma das outras;
  • Eles entendem que fazem parte de algo maior que eles mesmos e devem trabalhar em conjunto para serem eficazes.

Aplicação na HRCO:

  • Ao configurar o novo acesso ao firewall, os membros da equipe verificam e testam as atualizações;
  • Eles o fazem de maneira planejada e estruturada – não por desconfiança, mas uma verificação para garantir a integridade e a precisão.

Vamos considerar como um HRCO se parece na prática. Todos em um HRCO têm um alto nível de conhecimento. Eles entendem a facilidade com que as senhas podem ser comprometidas e os riscos de acesso não autorizado, pois reconhecem que a cibersegurança é o trabalho de todos. Eles leem e levam a sério os avisos que o departamento de segurança digital envia todas as semanas.

Há um nível de formalidade em como os processos de segurança são gerenciados – um protocolo claro para gerenciar contas e informações privilegiadas, que só funciona quando associado à integridade, a disposição de operar dentro dos protocolos de segurança, mesmo que pessoalmente seja inconveniente.

Essa formalidade também destaca quando algo está fora do lugar ou fora do comum, permitindo uma atitude questionadora, que evita que os funcionários cliquem em um e-mail ou URL questionável que parece suspeito, como um ataque de phishing.

Por fim, as pessoas em um HRCO sempre têm apoio mútuo – backup ativo da equipe – portanto, ao configurar o novo acesso ao firewall, os membros da equipe verificam e testam as atualizações, não por desconfiança, mas por verificar a integridade e a precisão.

Esses pilares podem ser afetados por cada indivíduo na organização e, portanto, servem como base para ajudá-la a se transformar em um HRCO.

Embora as culturas sejam frequentemente descritas em termos agregados ou descritivos, impactar os comportamentos individuais é a única maneira de você realmente mover uma cultura.

O primeiro passo é desenvolver um entendimento básico de como os indivíduos veem a cultura a sua volta e o que eles consideram ser sua cultura alvo ideal.

Caso haja brechas iminentes no desempenho de uma cultura atualmente, mas existir um forte alinhamento organizacional sobre como uma cultura pretende se transformar, então a batalha está meio vencida.

Por outro lado, se os funcionários da linha de frente e a gerência sênior tiverem visões muito diferentes do que é ideal, será difícil mudar para as práticas HRCO até que a dissonância seja resolvida.

A comunidade de segurança digital está despertando para a enorme lacuna no fator humano. Em fevereiro desse ano, o “elemento humano” foi o tema central de uma grande conferencia de segurança digital.

As principais ideias emergentes eram familiares: somente a tecnologia é insuficiente, as coisas estão mudando muito rapidamente, precisamos aproveitar as práticas organizacionais como uma linha de defesa adicional importante.

Até a melhor tecnologia falhará ou se tornará obsoleta diante de hacks cada vez mais sofisticados. Os bilhões gastos em tecnologia de cibersegurança não resolveram e não resolverão o problema.

Protocolos e procedimentos fortes são imperativos, mas não podem ser responsáveis por todos os cenários.

É recomendado que os gerentes voltem para as lições das HROs – organizações que foram capazes de operar em ambientes descentralizados e de alto risco, com um número notavelmente baixo de incidentes – e iniciem sua jornada para se tornar um HRCO.

Por fim, incorporar comportamentos de HRCO oferece um benefício insubstituível: quando a tecnologia e o processo falham, o desempenho humano é tudo o que existe entre você e um ciberataque.

Via: MITSloan.

This post is also available in: Português Español