A fadiga de segurança é real: veja como superá-la

A segurança de TI costuma ser considerada o “Departamento do Não” e, às vezes, é fácil entender por quê. Em um mundo de crescente risco cibernético, expansão das superfícies de ataque e uma economia de cibercrime em rápido crescimento, as equipes de segurança estão compreensivelmente interessadas em limitar os danos que seus funcionários podem causar. Afinal, basta um clique mal colocado para desencadear um potencial compromisso devastador de ransomware. Mas quando a carga sobre os funcionários se torna muito alta, eles podem reagir de maneiras inesperadas, o que na verdade aumenta o risco cibernético na organização.

Isso é conhecido como “fadiga de segurança” e, na pior das hipóteses, pode levar a um comportamento imprudente e impulsivo – exatamente o oposto do que as equipes de TI desejam. Para enfrentá-lo, a segurança precisa funcionar de forma mais integrada, limitando o número de decisões que os usuários precisam tomar e reequilibrando proteção e produtividade para um mundo do trabalho híbrido.

O que é fadiga de segurança e quão ruim é?

Os seres humanos costumam ser vistos como o elo mais fraco na cadeia de segurança corporativa. É por isso que os departamentos de segurança de TI estão tão empenhados em mitigar o risco de (não apenas) pessoas internas negligentes. Por um lado, eles estão certos. Estima-se que 67% das empresas tiveram entre 21 e mais de 40 incidentes internos em 2021, acima dos 60% em 2020 e custando a elas uma média de mais de US$ 15 milhões para remediar.

No entanto, quando os funcionários se sentem bombardeados por avisos de segurança, regras e procedimentos de política no trabalho e histórias da mídia sobre violações e ameaças em seu tempo livre, pode ocorrer um estado de exaustão. Essa fadiga de segurança é caracterizada por um sentimento de impotência e perda de ao controle. Os indivíduos podem achar tudo tão opressor que se afastam da política corporativa e seguem seu próprio caminho. Também pode haver uma sensação de resignação: que as violações vão acontecer, aconteça o que acontecer, então eles podem ignorar todos os alertas de segurança estressantes.

É mais comum do que você imagina. Um estudo 2018 revelou que mais da metade (55%) dos funcionários da EMEA não pensa regularmente em segurança cibernética e quase um quinto (17%) não está nem um pouco preocupado com isso. As evidências sugerem que os funcionários mais jovens são ainda mais propensos a se cansar por exigências excessivas de segurança.

Quais são os principais sintomas de fadiga de segurança?

Infelizmente, isso pode ter um impacto seriamente desestabilizador na segurança corporativa. Entre os sinais indicadores de fadiga de segurança estão os funcionários que:

• Pegue mais riscos com e-mails de phishing, talvez decidindo clicar em links ou abrir anexos por interesse.
• Pratique o gerenciamento inadequado de senhas, como reutilizar credenciais fracas em várias contas. De acordo com um estudo recente, 43% dos funcionários admitem compartilhar logins e até mesmo evitar o trabalho para reduzir o estresse do login.
• Faça login em redes corporativas sem VPN, embora isso possa ser restrito em algumas organizações.
• Use pontos de acesso Wi-Fi públicos não seguros quando estiver fora e prestes a fazer login em contas corporativas confidenciais.
• Deixar de atualizar seus dispositivos e máquinas regularmente. UMA novo estudo da EY afirma que os funcionários da geração Z e da geração Y são muito mais propensos do que os colegas mais velhos a desconsiderar os patches obrigatórios pelo maior tempo possível.
• Deixar de relatar incidentes imediatamente aos superiores ou ao departamento de TI. O mesmo estudo da EY revela que quase um quinto (16%) dos funcionários tentaria lidar com uma suspeita de violação por conta própria, em vez de notificar outra pessoa.
• Use dispositivos de trabalho para uso pessoal, incluindo atividades de risco, como downloads da Internet, jogos e compras online. Um estudo afirma que metade dos funcionários agora vê seu dispositivo de trabalho como propriedade pessoal.
• Contorne a segurança de outras maneiras: Outro relatório revela que 31% dos funcionários de escritório com idades entre 18 e 24 anos tentaram burlar a política.

Como lidar com a fadiga de segurança

A rápida mudança para o trabalho doméstico em massa em 2020 desencadeou uma resposta instintiva em muitas organizações, pois as equipes de TI buscavam limitar sua exposição ao risco impondo novas regras onerosas a seus funcionários. Agora que o local de trabalho híbrido está começando a emergir das cinzas da pandemia, há uma oportunidade de revisitar essas restrições, com o objetivo de reduzir o risco de fadiga de segurança.

Considere o seguinte:

• Ouça seus usuários finais para entender melhor como a segurança afeta os fluxos de trabalho e interrompe a produtividade. Tente criar políticas que equilibrem melhor as necessidades dos funcionários com a necessidade de minimizar o risco cibernético.
• Limite o número de decisões de segurança que os usuários precisam tomar. Isso pode significar correção automática de software, instalação remota de software de segurança e gerenciamento de laptops e dispositivos. E executando serviços de detecção e resposta em segundo plano para capturar e conter ameaças quando elas violam as defesas da rede.
• Oferece suporte à segurança aprimorada de login, minimizando o esforço, com gerenciadores de senhas, baseado em biometria autenticação de dois fatores e logon único (SSO).
• Limite o número de mensagens relacionadas à segurança com as quais você bombardeia os usuários. Menos é mais.
• Realizar treinamento de conscientização de segurança mais divertido, através de sessões mais curtas (10-15 minutos) que usam o mundo real simulações e gamificação, para mudar o comportamento.

Para que a segurança funcione de forma eficaz, você precisa criar uma cultura em que todos os funcionários entendam o papel crucial que desempenham para manter a organização segura e queiram desempenhar sua parte de forma proativa. Esse tipo de cultura pode levar tempo para ser construído. Mas começa com a compreensão e o combate às causas da fadiga de segurança.