Embora seja clichê, é necessário lembrar: o crime cibernético evolui a cada dia. Ao longo dos últimos anos, presenciamos os atores maliciosos se tornando cada vez mais organizados, construindo sindicatos e oferecendo ataques no modelo “como serviço”. Já temos ransomware-as-a-service, fraud-as-a-service e até ferramentas por assinatura que usam machine learning para ajudar um golpista a criar uma armadilha convincente.
Em outras palavras, hoje em dia, qualquer pessoa má-intencionada pode realizar ataques com um investimento mínimo — mesmo sem habilidades técnicas para tal.
Claro, o mercado de cibersegurança felizmente está sendo capaz de responder em tempo hábil. Contamos com uma série de novas ferramentas e soluções que também estão em constante evolução. Vide arquiteturas e conceitos como zero trust, IAM/CIAM, xDR, CASB, NGFW e derivados. Porém, no jogo da segurança da informação, há uma peça fundamental do quebra-cabeças que se estagnou e precisa urgentemente de uma evolução.
Sim, estamos falando de security awareness — os famosos programas de conscientização em segurança.
Historicamente menosprezados e subfinanciados, os programas de conscientização sempre amargaram com as migalhas do orçamento de segurança da informação. Os motivos são diversos: falta de compreensão quanto ao real impacto do fator risco humano, escassez de profissionais com as soft skills necessárias para administrar um programa educacional e até mesmo a mentalidade retrógrada de que “a tecnologia deve fazer todo o trabalho pesado”.
Além disso, visto que é mais difícil calcular o retorno sobre o investimento (ROI) de ações de security awareness, sempre foi mais difícil convencer a alta diretoria sobre a importância de tal campo. O resultado dessa negligência é refletido em números: de acordo com pesquisas recentes do World Economic Forum (WEF), 95% dos vazamentos de dados são causados pelo fator humano, seja ele intencional ou não.
Mesmo com o estabelecimento de frameworks e normas que exigem a existência de um programa interno de conscientização dos colaboradores (são mais de 8,5 mil ao redor do mundo, sabia?), o setor não evoluiu junto com outros recursos de crimes contra a informação. Permanecemos no mesmo ciclo de treinamentos morosos, questionários simples e simulações simples de phishing. Chegou a hora de ir além.
Gerencie o risco, crie uma cultura
É com essa visão de futuro que necessitamos não apenas de mais uma simples plataforma de conscientização, mas sim uma solução de human risk management — ou gerenciamento de risco humano, se assim preferir. O objetivo não é simplesmente prover material didático, mas sim oferecer uma visão holística do comportamento de todos os integrantes de uma empresa, permitindo ajustes finos na criação de uma cultura de segurança centrada em pessoas (human-centric security).
Isso é possível graças a uma metodologia proprietária orientada a dados, apresentados de forma amigável e compreensível, que proporciona maior visibilidade sobre os pontos fortes e fracos na primeira linha de defesa contra os atores maliciosos. Na Eskive, por exemplo, é possível até mesmo observar uma evolução cronológica das métricas MEE (Média de Engajamento Educacional) e MCI (Média de Comportamento Inadequado).
A abordagem de human risk management traz diversas vantagens:
Criação de uma cultura de segurança verticalizada: em concordância com a tendência de mercado, a segurança da informação está finalmente deixando de ser “coisa da TI” e pousando nas pautas do board. A alta diretoria e os gestores estão entendendo a criticidade do tema e que precisam fazer sua parte em um esforço conjunto, e não “top-to-down”, para proteger a informação;
Escalada de responsabilidades para setores: a partir do momento em que é possível identificar que departamento X ou Y está mais propenso do que outros a cometer erros que geram riscos, é possível alocar recursos e responsabilidades para os gestores dessas respectivas áreas;
Ajuste de estratégia em tempo real: o crime contra a informação não espera. Obtendo análises rápidas sobre o que é ou não eficaz, tal como os tipos de ataques contra os quais as equipes estão mais suscetíveis, é possível realizar ajustes imediatos na estratégia de educação.
Como dissemos no início deste artigo, novas ameaças e novas tecnologias exigem novas abordagens de conscientização em segurança da informação. Na Eskive, também estamos evoluindo constantemente para oferecer uma solução que acompanhe as inovações técnicas, auxiliando as equipes de segurança e as empresas a irem além do óbvio.
Conte conosco para desenvolver uma cultura security-first!