Os designers de tecnologia começam construindo um produto e testando-o nos usuários. O produto vem primeiro; a entrada do usuário é usada para confirmar sua viabilidade e melhorá-la. A abordagem faz sentido. McDonald’s e Starbucks fazem o mesmo. As pessoas não conseguem imaginar novos produtos, assim como não conseguem imaginar receitas, sem experimentá-los.
Mas o paradigma também foi alargado à concepção de tecnologias de segurança, onde construímos programas para protecção dos utilizadores e depois pedimos aos utilizadores que os apliquem. E isso não faz sentido.
Segurança não é uma ideia conceitual. As pessoas já usam e-mail, já navegam na Web, usam mídias sociais e compartilham arquivos e imagens. A segurança é uma melhoria que se sobrepõe a algo que os usuários já fazem ao enviar e-mails, navegar e compartilhar online. É semelhante a pedir às pessoas que usem cinto de segurança.
É hora de olhar para a segurança de maneira diferente
Nossa abordagem à segurança, porém, é como ensinar segurança ao motorista, ignorando como as pessoas dirigem. Fazer isso praticamente garante que os usuários adotem algo cegamente, acreditando que é melhor, ou, por outro lado, quando forçados, simplesmente o cumpram. De qualquer forma, os resultados são abaixo do ideal.
Veja o caso do software VPN. Estes são fortemente promovidos aos usuários como uma ferramenta obrigatória de segurança e proteção de dados, mas a maioria tem limitado a nenhuma validade. Eles colocam em maior risco os usuários que acreditam em suas proteções, sem falar que os usuários correm mais riscos, acreditando em tais proteções. Além disso, considere o treinamento de conscientização em segurança que agora é exigido por muitas organizações. Aqueles que consideram o treinamento irrelevante para seus casos de uso específicos encontram soluções alternativas, muitas vezes levando a riscos de segurança incalculáveis.
Há uma razão para tudo isso. A maioria dos processos de segurança é projetada por engenheiros com experiência no desenvolvimento de produtos tecnológicos. Eles abordam a segurança como um desafio técnico. Os usuários são apenas mais uma ação no sistema, não diferente de software e hardware que podem ser programados para executar funções previsíveis. O objetivo é conter ações baseadas num modelo predefinido de quais insumos são adequados, para que os resultados se tornem previsíveis. Nada disto se baseia nas necessidades do utilizador, mas reflecte uma agenda de programação definida antecipadamente.
Exemplos disso podem ser encontrados nas funções de segurança programadas em grande parte dos softwares atuais. Veja o caso dos aplicativos de e-mail, alguns dos quais permitem aos usuários verificar o cabeçalho de origem de um e-mail recebido, uma camada importante de informações que pode revelar a identidade do remetente, enquanto outros não. Ou pegue os navegadores móveis, onde, novamente, alguns permitem que os usuários verifiquem a qualidade do certificado SSL, enquanto outros não, mesmo que os usuários tenham as mesmas necessidades em todos os navegadores. Não é como se alguém precisasse verificar o SSL ou o cabeçalho de origem apenas quando estiver em um aplicativo específico. O que essas diferenças refletem é a visão distinta de cada grupo de programação sobre como seu produto deve ser usado pelo usuário – uma mentalidade de produto em primeiro lugar.
Os usuários compram, instalam ou cumprem os requisitos de segurança acreditando que os desenvolvedores de diferentes tecnologias de segurança cumprem o que prometem – e é por isso que alguns usuários são ainda mais arrogantes em suas ações online ao usar essas tecnologias.
É hora de uma abordagem de segurança que prioriza o usuário
É imperativo invertermos o paradigma da segurança – colocar os usuários em primeiro lugar e depois construir defesas em torno deles. Isto não acontece apenas porque devemos proteger as pessoas, mas também porque, ao promover uma falsa sensação de protecção, estamos a fomentar o risco e a torná-las mais vulneráveis. As organizações também precisam disso para controlar custos. Mesmo que as economias do mundo tenham oscilado devido a pandemias e guerras, os gastos com segurança organizacional na última década aumentaram geometricamente.
A segurança que prioriza o usuário deve começar com a compreensão de como as pessoas usam a tecnologia de computação. Temos que perguntar: o que torna os usuários vulneráveis a hackers via e-mail, mensagens, redes sociais, navegação, compartilhamento de arquivos?
Temos que desembaraçar a base do risco e localizar as suas raízes comportamentais, cerebrais e técnicas. Esta tem sido a informação que os desenvolvedores ignoraram por muito tempo enquanto construíam seus produtos de segurança, e é por isso que mesmo as empresas mais preocupadas com a segurança ainda sofrem violações.
Preste atenção ao comportamento online
Muitas dessas perguntas já foram respondidos. A ciência da segurança explicou o que torna os usuários vulneráveis à engenharia social. Como a engenharia social visa uma variedade de ações online, o conhecimento pode ser aplicado para explicar uma ampla gama de comportamentos.
Entre os fatores identificados estão crenças sobre riscos cibernéticos — ideias que os usuários têm em mente sobre o risco de ações on-line e estratégias de processamento cognitivo - como os usuários abordam cognitivamente as informações, o que determina a quantidade de atenção que os usuários prestam às informações quando estão online. Outro conjunto de fatores são hábitos e rituais da mídia que são parcialmente influenciados pelos tipos de dispositivos e parcialmente pelas normas organizacionais. Juntos, crenças, estilos de processamento e hábitos influenciam se uma peça de comunicação on-line – e-mail, mensagem, página da web, texto – desencadeia suspeita.
Treine, meça e rastreie as suspeitas dos usuários
A suspeita é aquele desconforto ao encontrar algo, a sensação de que algo está errado. Quase sempre leva à busca de informações e, se uma pessoa estiver munida dos tipos certos de conhecimento ou experiência, leva à detecção e correção do engano. Ao medir a suspeita juntamente com os fatores cognitivos e comportamentais que levam à vulnerabilidade ao phishing, as organizações podem diagnosticar o que tornou os usuários vulneráveis. Esta informação pode ser quantificada e convertida num índice de risco que pode ser utilizado para identificar aqueles que correm maior risco — os elos mais fracos – e protegê-los melhor.
Ao capturar esses fatores, podemos acompanhar como os usuários são cooptados por meio de vários ataques, entender por que são enganados, e desenvolver soluções para mitigá-lo. Podemos criar soluções para o problema vivenciado pelos usuários finais. Podemos acabar com as exigências de segurança e substituí-las por soluções que sejam relevantes para os usuários.
Depois de gastar bilhões para colocar tecnologia de segurança na frente dos usuários, continuamos igualmente vulneráveis a ataques cibernéticos que surgiu na rede AOL na década de 1990. É hora de mudarmos isso e criarmos segurança em torno dos usuários.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
