Quer sucesso nas ações de Segurança? Pare de responsabilizar os usuários

Infosecurity Europe painel defende humanização das ações de Segurança. “Para encorajar os indivíduos a melhorar suas práticas de segurança, comece por não culpá-los.

Angela Sasse, professora de tecnologia centrada no ser humano no University College London e diretora do U.K. Instituto de Pesquisa para Ciência da Segurança Cibernética, ou RISCS, defendeu na conferência Infosecurity Europe que para encorajar os indivíduos nas práticas de segurança devemos começar por não culpá-los ou atribuir a eles a responsabilidade dos problemas enfrentados pela empresa com as ameaças de relativas as práticas de Segurança.

“Culpar o usuário é contraproducente, não nos ajuda a mudar”

As organizações têm que encontrar formas colaborativas de trabalhar com os funcionários e fazê-los mudar, “culpar o usuário é contraproducente, não nos ajuda a mudar“, argumentou Angela Sasse. Mas eles também precisam estar abertos a testar rigorosamente as questões de segurança e devem revisar seus pensamentos com base nas evidências apresentadas.

Angela Sasse defende a “disciplina da usabilidade”, que se baseia em campos como design, psicologia e ciência cognitiva. Usabilidade refere-se à prática não apenas projetar e construir algo, mas facilitar o gerenciamento. A usabilidade pode ser alcançada construindo algo que muitas pessoas acham intuitivo de usar – como exemplo ela cita o site Amazon.com, um iPhone ou os desfibriladores automáticos de emergência que estão cada vez mais disponíveis em locais públicos.

A usabilidade baseia-se não apenas em projetar algo – como um produto ou sistema -, mas estudar como os usuários o utiliza, refinando o design, testando-o novamente, refinando-o e repetindo esse processo.

Em um mundo ideal, a Segurança da Informação não exigiria nenhuma interação humana. Poderia ser como um air-bag que se desdobra quando necessário, mas claro que o mundo real é mais complicado. No entanto, isso não significa que as pessoas priorizem as preocupações de segurança, não importa o quanto outros as ensinem sobre sua importância.

Olhe além do Plano de Conscientização

O plano de conscientização e educação de segurança não são a resposta”, disse Angela Sasse. “A segurança é o trabalho principal dos especialistas em segurança, para qualquer outra pessoa, é um dreno de produtividade. Os usuários irão evitar coisas que dificultam sua vida“.

Portanto, os especialistas em segurança precisam persuadir os indivíduos e os gerentes de negócios de que precisam trabalhar juntos para depois trabalhar com eles para gerenciar os riscos que enfrentam, disse ela.

Cães idosos precisão de tempo, encorajamento e orientação para aprender novos truques. E os professores precisam entender quais alavancas funcionam melhor. “Não é para os amadores. Se você não foi treinado sobre como mudar comportamentos de risco, você vai precisar de ajuda de profissionais para fazer isso. Mudar um comportamento altamente aprendido necessita de esforço“, reforça Ângela Sasse.

Fonte: Angela Sasse, via “Star Trek: a próxima geração”.

Não cometa erros ao testar a colaboração

Todas as orientações de segurança devem ser factíveis, a complexidade e questões vagas são inimigas da efetividade.  As comunicações devem ser NEAT – Necessário, Explicado, Acionável, Testado.

Você quer que eles mudem seus comportamentos de risco e comecem a seguir as boas práticas de segurança, mas isso não é uma solução rápida, não é algo que você vai conseguir, enviando alguns e-mails“.

Ângela Sasse também vê testes de phishing como um desperdício de tempo. Tais testes submetem os funcionários a falsas tentativas de phishing em um esforço para aumentar a conscientização de segurança, no entanto Ângela Sasse se posiciona de forma completamente contra, “Eu estou contra eles, totalmente e inequivocamente, acho que é uma abordagem errada, porque não envolve realmente os usuários e não constrói uma a mentalidade de segurança“.

“Metade dos problemas de segurança está em TI. Então, ao invés dos gastar com Band-Aid, por que não se concentrar nos problemas reais e subjacentes? … O que você quer é construir essa mentalidade colaborativa”. Angela Sasse

Teste todos os pressupostos

Os profissionais de segurança não devem ter medo de suavizar seus pressupostos de longa duração se os testes de campo com usuários revelarem modelos defeituosos.

Não tenha medo de mudar, aceite o fato de ter feito as coisas de forma imperfeita no passado, mas agora é o momento de profissionalizar e seguir em frente“, disse Jonathan Kidd, CISO da empresa de serviços financeiros Hargreaves Lansdown, durante painel Infosecurity Europa.

Por exemplo, Sasse apontou para a nova política de senha emitida pelo NCSC, National Cyber Security Centre,  no ano passado, que ela disse que foi o resultado da pesquisa do RISCS em como os usuários usam senhas no mundo real (veja Why Are We *Still* So Stupid About Passwords?).

As novas recomendações do NCSC incluem a recomendação de não mais forçar a expiração da senha. Durante anos, uma linha predominante de pensamento de segurança tem sido que as senhas devem ser redefinidas a cada 30 ou 60 dias. Mas especialistas em segurança pressionaram por uma explicação e o que apareceu é que o período de tempo de troca de senhas reflete a quantidade de tempo que, teoricamente, um hacker levaria para quebrar todas as senhas de um sistema Unix da década de 80 em um ataque de força bruta.

Atualmente sistemas de segurança de senha adequadamente projetados podem garantir que as senhas permaneçam inquebráveis ​​não por dias ou meses, mas décadas ou séculos.

Angela Sasse afirma que a pesquisa de usabilidade de senhas revelou que os usuários que são forçados a mudar suas senhas muitas vezes estabelecem opções fáceis de lembrar, bem como a reutilização ou anotação em locais de fácil acesso. Essas escolhas muitas vezes tornam as senhas fáceis de quebrar e são uma das razões pelas quais muitos especialistas em segurança já não defendem expirações de senha forçada.

Treine os Técnicos para falar claramente

Um relatório do projeto “Protegendo o Homem” (Securing the Human), de 2015 do Instituto SANS, descobriu que muitos programas de conscientização de segurança são administrados por aqueles que têm um histórico técnicos, ao invés de conhecimentos em disciplinas como sociologia, psicologia ou comunicações que são especializados  a estudar grupos de usuários e persuadi-los a mudar seu comportamento.

A consultora da Cibersegurança, Jessica Barker, disse na conferência que existe um deficit de habilidades de humanas nas equipes de segurança da informação e que sempre pergunta : “Você tem treinamento humano para os técnicos?” à qualquer organização que diz que faz “treinamento de conscientização”.

Jessica Barker speaks at Infosecurity Europe on Tuesday in London.

“As organizações esperam que equipes de relações humanas aprendam tecnologia, mas não que técnicos aprendam relações humanas”, brincou Jessica.

Evite o medo

Jessica Barker também advertiu contra o uso do medo para influenciar o comportamento.  “Se você está falando de algo assustador, é importante dizer como eles são suscetíveis a essa ameaça, e como você espera que eles respondam, bem como o tempo e os recursos que precisarão para responder“, disse Barker.

“Não podemos simplesmente dar às pessoas o problema, devemos dar-lhes a solução” – Jessica Barker

Ela também advertiu contra se concentrar exclusivamente em comportamentos ruins, em vez de recompensar os positivos. “Muitas vezes nos tornamos o departamento ou organização que está desmotivando as pessoas, ao invés de motivá-las dizendo: Este foi um grande trabalho, muito bem feito, Parabéns!“.

fonte: Mathew J. Schwartz - Bankinfo Security por MindSec  13/06/2017

 

 

 

 

About mindsecblog 213 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.