Por que o ser humano NÃO é o elo mais fraco na Segurança da Informação!

Cibersegurança Humanocêntrica: Por que o ser humano NÃO é o elo mais fraco na Segurança da Informação!

O ser humano é o elo mais fraco na cibersegurança“. Será mesmo?

Devo ter ouvido essa frase, ou alguma variação bem próxima, uma infinidade de vezes nas últimas duas décadas. Não que essa linha de pensamento seja completamente errada, mas nos últimos anos, frequentemente tenho me questionado sobre o potencial do ser humano como linha de defesa cibernética, e quanto mais me aprofundo no assunto, mais vejo que humanos são o elo mais forte na segurança da informação, cibersegurança, proteção de dados pessoais e áreas relacionadas.

Na semana passada, por puro acaso, me deparei novamente com a supracitada frase, dessa vez encabeçando um artigo, e resolvi fazer uma enquete bem simples e direta ao ponto: “Você acredita que os humanos são o elo mais fraco da cibersegurança?” com as respostas eram apenas “sim” ou “não“.

Bem, mesmo com os resultados apontando uma tendência nitidamente clara, o debate sobre o tema foi muito interessante, com diferentes pontos de vista, cada um muito bem embasado.

Um colega mencionou que a resposta está em pesquisas recentes, que indicam que 82% dos ataques envolvem o elemento humano e 95% das brechas de segurança são causadas por erros humanos.

Por outro lado, várias pessoas argumentaram que humanos são, de fato, o único elo na corrente de cibersegurança, uma vez que são eles quem efetivamente definem processos, selecionam tecnologias e – na prática – decidem como tratar a informação, seja seguindo ou burlando controles de segurança.

De maneira geral, mesmo quem apontou humanos como o elo mais fraco, não deixou de destacar algo que considero extremamente relevante: Desde que recebem o treinamento adequado e passem por ações de conscientização, humanos podem ser extremamente valiosos para a cibersegurança. Eu concordo.

Não foi fornecido texto alternativo para esta imagem
Resultado da enquete desta semana

O que posso dizer é que esse rico debate acabou por me estimular a escrever um pouco mais sobre o tema, e pelo título da newsletter (#spoilers), provavelmente você já viu que eu sou #TeamHuman, assim gostaria de fazer uma breve análise e apresentar alguns bons motivos que me levam a crer que não, humanos não são o elo mais fraco da cibersegurança ou da segurança da informação.

A Concepção Comum e seus Problemas

Por que é tão comum ouvirmos que os humanos são o elo mais fraco na cibersegurança? A resposta, à primeira vista, parece simples: porque muitas vezes isso é verdade. Erros humanos são frequentemente o catalisador de falhas de segurança. Desde um funcionário clicando inadvertidamente em um link de phishing, passando por senhas previsíveis, sistemas que não foram atualizados conforme procedimentos corporativo por puro descuido, até mesmo as ações propositais/maliciosas dos humanos estão frequentemente no cerne dos incidentes de cibersegurança.

No entanto, essa visão é um reflexo de uma abordagem tecnocêntrica para a cibersegurança. Quando pensamos em segurança da informação, tendemos a focar primeiramente em soluções tecnológicas – firewalls, antivírus, sistemas de detecção de intrusões e assim por diante. Isso pode alimentar uma mentalidade de que a tecnologia é a solução para todos os nossos problemas de segurança, e que os humanos, com suas falhas e inconsistências, são o principal obstáculo a ser superado.

Pensar dessa forma culmina em estratégias que normalmente não são efetivas, gerando um desequilíbrio nos três fatores fundamentais para uma boa gestão de segurança da informação: Pessoas, Processos e Tecnologias.

Comparando os Três Pilares da Cibersegurança: Pessoas, Processos e Tecnologias

A ênfase excessiva nos erros humanos pode nos levar a negligenciar outros componentes críticos da cibersegurança. A segurança da informação é comumente descrita como garantir níveis adequados de confidencialidade, integridade e disponibilidade, mas para isso deve ser atingido através da aplicação de controles relacionados a pessoas, processos e tecnologias.

A própria ISO 27001:2022 deixa isso bem claro:

Convém que a abordagem da organização para gerenciar a segurança da informação e sua implementação, incluindo pessoas, processos e tecnologias, seja analisada criticamente de forma independente a intervalos planejados ou quando ocorrem mudanças significativas.” ISO 27001:2022

Enquanto a tecnologia é uma ferramenta vital, ela é apenas uma peça do quebra-cabeça, que obviamente não deve ser encarada a única solução. Sim, é verdade que as pessoas cometem erros. No entanto, as pessoas também são capazes de aprender, se adaptar e pensar de maneira criativa e estratégica.

A capacidade humana de compreender o contexto, perceber nuances e detectar anomalias é algo que nem mesmo as modernas IAs generativas conseguem igualar. Além disso, os humanos são responsáveis por projetar, implementar e manter nossos sistemas de segurança, bem como por tomar decisões críticas em resposta a incidentes de segurança. Não apenas isso, mas os humanos são a última linha de defesa quando todas as outras medidas de segurança falham. Quando treinados adequadamente, eles podem identificar e neutralizar ameaças antes que causem danos significativos.

Já os processos são o esqueleto que dá forma e estrutura à nossa abordagem de cibersegurança. Eles envolvem tudo, desde a maneira como implementamos atualizações até como respondemos a um incidente de segurança da informação. Processos bem projetados e bem implementados podem aumentar a eficiência, reduzir erros e garantir que as ações sejam tomadas de maneira consistente. No entanto, vale lembrar que os processos também não são à prova de falhas. Eles podem se tornar desatualizados, podem não ser seguidos ou podem simplesmente não estar à altura das tarefas para as quais foram projetados. Além disso, os processos eficazes também dependem de pessoas para executá-los corretamente e de tecnologia para apoiá-los.

Por último, e de forma alguma menos importante, as tecnologias sempre serão uma peça fundamental para segurança da informação e cibersegurança, nos permitem detectar, prevenir e responder a ameaças de segurança em “tempo real”, podem automatizar tarefas que seriam muito demoradas para os humanos além de operar em uma escala que os humanos não conseguem igualar.

No entanto, a tecnologia também tem suas próprias fraquezas. Ela pode ser burlada por atacantes experientes, pode falhar devido a bugs e vulnerabilidades, e pode se tornar obsoleta à medida que novas ameaças emergem. Além disso, a tecnologia depende de pessoas para desenvolvê-la, mantê-la e usá-la efetivamente. Portanto, embora a tecnologia seja uma ferramenta poderosa na cibersegurança, ela não deve ser encarada como uma solução completa.

O que deveria ser claro, é que uma boa estratégia de segurança da informação consegue equilibrar as forças desses componentes de forma a superar, e muito, fraquezas individuais. Esse deve ser o objetivo primário de organizações que querem estar a frente de ciberameaças.

A Importância da Conscientização e do Treinamento em Segurança da Informação

A verdade é que o ser humano, com todos os seus erros e falhas, também tem o potencial de ser uma das nossas maiores defesas contra as ameaças cibernéticas. O treinamento e a conscientização em cibersegurança podem transformar os usuários humanos de potenciais alvos de ataques cibernéticos em defensores ativos contra eles.

Entretanto, isso não acontecerá do dia para noite, especialmente se não forem aplicados os recursos e investimento necessário em dois pontos críticos: Conscientização e do Treinamento em Segurança da Informação.

A conscientização em segurança da informação e o treinamento se complementam ao servirem como duas etapas fundamentais na proteção de dados e sistemas. A conscientização é o primeiro passo, garantindo que os usuários entendam os riscos, ameaças e importância da segurança da informação.

Já o treinamento é uma atividade mais profunda, onde os usuários aprendem procedimentos específicos, técnicas e práticas seguras, como a criação de senhas fortes, proteção contra phishing e manuseio seguro de dados. Assim, enquanto a conscientização cria um entendimento básico e enfatiza a relevância da segurança da informação, o treinamento dá as ferramentas para implementar práticas seguras de maneira eficaz.

Como resultado, um funcionário devidamente conscientizado e bem treinado, por exemplo, é menos propenso a cair em golpes de phishing, mais propenso a seguir as políticas de segurança da empresa e mais capaz de responder efetivamente a um incidente de segurança. Ao investir em treinamento e conscientização, podemos capacitar nossos funcionários a agir como uma primeira linha de defesa contra ameaças cibernéticas.

Cibersegurança Humanocêntrica

Então, o que significa ter uma abordagem humanocêntrica para a cibersegurança? Significa reconhecer que os seres humanos são tanto uma parte do problema quanto da solução. Significa investir em treinamento e conscientização, desenvolver políticas e normas que levem em consideração o comportamento humano e promover uma cultura de segurança em toda a organização.

A cibersegurança humanocêntrica é uma abordagem que reconhece o valor e o potencial dos seres humanos em nossa luta contra as ameaças cibernéticas. Ela vê os seres humanos não como o elo mais fraco, mas como uma peça essencial, que tem o potencial de ser o pilar mais significativo do quebra-cabeça da segurança.

Neste contexto, entender a natureza e a extensão das interações humanas com a tecnologia e processo é de fundamental importância. Não basta apenas implementar medidas de segurança – é crucial entender como os indivíduos interagem com essas medidas e quais são suas percepções em relação à segurança da informação. Afinal, a eficácia de qualquer controle ou medida depende em grande parte de como ela é percebida e adotada pelos usuários. O componente humano não pode ser ignorado, pelo contrário, ele deve ser o foco da estratégia.

Claro, a jornada da cibersegurança humanocêntrica é repleta de seus próprios desafios, em especial no que diz respeito a capacitação dos indivíduos. É importante encorajar os funcionários e outras partes interessadas a assumir – pelo menos em parte – a responsabilidade por sua própria segurança cibernética, fornecendo-lhes as ferramentas e o conhecimento necessário para identificar e combater as ameaças cibernéticas.

Nesse sentido, a cibersegurança humanocêntrica não é apenas uma abordagem reativa, mas sim proativa. O poder de um usuário informado e engajado não deve ser subestimado. Aqui humanos são os defensores da primeira linha contra as ameaças cibernéticas e uma peça-chave para o sucesso de qualquer estratégia de segurança.

Conclusão

O ser humano é o elo mais fraco na cibersegurança? Não, se reconhecermos e capitalizarmos suas forças únicas e tivermos a ousadia de investir no seu potencial. Com a abordagem correta, os seres humanos podem se tornar um elemento crucial na cibersegurança, ao invés de ser o elo mais fraco.

Já passou da hora de repensar a forma como vemos o papel do elemento humano na cibersegurança. Que medidas você vai tomar para fortalecer esse aspecto em sua organização? Deixe seus pensamentos nos comentários abaixo. Juntos, podemos tornar a cibersegurança mais humanocêntrica e, como resultado, mais eficaz.

Por: Cláudio Dodt

Veja também:

Sobre mindsecblog 2431 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!