ISACA Journal
Volume 5, 2,016 

Translated Articles 

Como auditar o elemento humano e avaliar o risco de segurança de sua organização 

Tom Pendergast, Ph.D. 

O Relatório de investigação de violações de dados de 2016 (DBIR), o nono relatório anual da Verizon, revelou notícias assustadoras - o vetor humano de ameaça está mais perigoso do que nunca. O último DBIR reafirmou o fato de funcionários terem continuado a desempenhar um papel central em muitas das violações no ano passado. Cerca de 63% das violações confirmadas envolveram senhas fracas, padrão ou roubadas. Erros diversos e piores (equipe enviando informações para a pessoa errada) foram responsáveis por cerca de 18% das violações.1 Apesar de diversas medidas preventivas, os funcionários continuam como um dos vetores mais caros em diversas violações de dados e incidentes de segurança, que estão aumentando em uma taxa preocupante.

A culpa é de quem? É difícil dizer porque, embora os funcionários sejam claramente identificados como uma fonte de risco para os negócios, conselhos administrativos e executivos também são cada vez mais responsabilizados por práticas arriscadas de segurança cibernética. Na verdade, pesquisas recentes mostram que funcionários muitas vezes querem colocar a culpa por falhas cibernéticas exclusivamente nos ombros de conselhos administrativos e executivos. Entre os profissionais de escritório e tomadores de decisão de TI entrevistados no Reino Unido, 29% acreditam que o CEO deve ser responsável por uma violação de dados significativa, enquanto 38% dos profissionais de escritório acreditam que conselhos de administração devem ser responsabilizados.2

Da mesma maneira, esses conselhos administrativos e executivos buscam aqueles nos departamentos de segurança da informação ou TI e perguntam o que eles estão fazendo para mitigar o risco gerado pelo "elemento humano". Se esse exame de práticas atuais é chamado de auditoria ou algo similar, a busca por uma maneira mais rigorosa de controlar os esforços organizacionais para tratar o maior risco de segurança já começou: os funcionários. Conselhos administrativos querem saber o que exatamente está sendo feito para tratar de problemas e se essas ações estão ou não alcançando os resultados desejados. Eles querem descobrir se há um programa de conscientização real em vigor, isso é, um programa voltado para mudanças significativas em conhecimento e comportamento de funcionários.

No entanto, aqueles que foram solicitados a realizar tal auditoria vão obter pouquíssima orientação sobre o assunto. As fontes normais que pautam a avaliação de programa (diversos documentos fornecidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, a Organização Internacional de Padronização (ISO) e a Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) dos EUA, entre outros) fornecem apenas descrições vagas de padrões e requisitos de programa de conscientização. Felizmente, há diversos e bons trabalhos sendo feitos nesta área que podem ajudar organizações a avaliar se estão no caminho certo para tratar a ameaça humana. As boas práticas em algumas das empresas mais conscientes sobre riscos no mundo destacam alguns dos principais atributos que as organizações devem buscar (ou criar) enquanto procuram alcançar melhorias no desempenho do elemento humano.

Embora essas boas práticas adotem diferentes nomes e formas, os melhores programas de conscientização têm algumas coisas em comum: Eles avaliam e analisam o desempenho humano real dentro da organização; eles criam um plano para melhoria contínua; e eles apresentam uma série de intervenções educacionais (por exemplo, treinamento e reforço) voltadas para mudar comportamentos e incentivar uma cultura consciente sobre riscos. Organizações que levam o problema humano a sério sabem que devem examinar o estado atual de conhecimento, habilidades e atitudes de funcionários quando o assunto é segurança (e privacidade, muitas vezes interligada na opinião dos funcionários). Isso exige se afastar e adotar uma visão mais ampla sobre a cultura da organização, avaliando todas as possíveis maneiras que funcionários estejam (ou não) entendendo e respondendo a riscos relacionados à segurança.

Algumas das melhores maneiras para compreender os fatores de risco humano de uma empresa são a realização de pesquisas de funcionários, tanto antes quanto depois de treinamentos. Eles ajudam as organizações a compreender o que os funcionários sabem hoje para que melhorias adequadas possam ser feitas no futuro. Mesmo se o orçamento estiver reduzido, não há falta de dados grátis da indústria, como o DBIR citado anteriormente, para ajudar uma organização a compreender seu risco específico de funcionários. Apenas quando os fatores de risco forem compreendidos é que a organização pode garantir que trabalhe para entregar o treinamento correto aos funcionários certos.

Além disso, dados de ferramentas de relatórios de incidentes de rede, como sistemas de gestão de eventos de informação e segurança (SIEM) e software de prevenção de perda de dados (DLP) que já possam estar em operação, vão ajudar a compreender o predomínio de problemas de processamento de dados. O conceito de análise de comportamento de entidades e usuários (UEBA - User and Entity Based Analytics ou UBA) está emergindo rapidamente como uma maneira para avaliar todas as informações coletadas por SIEM, DLP e outras fontes, e fornecer informações de tendência priorizadas para os profissionais de TI que monitoram a rede. Ferramentas de UEBA fornecem valor real para identificar padrões e sinais que revelam a presença de pessoas suspeitas no ambiente de TI.

Um uso emergente e empolgante para a UEBA está vinculado diretamente a "treinamento just-in-time" no ponto de falha. A UEBA pode identificar Jane Doe salvando um documento de empresa em um site de armazenamento na nuvem não aprovado como Dropbox, Box ou Google Drive, e entrega um pop-up gerado pelo sistema que a lembre sobre a política da empresa sobre armazenar documentos da empresa em um ecossistema autorizado. Se Jane fizer isso novamente, o sistema então pode fornecer um vídeo rápido sobre as razões pela qual é melhor evitar um sistema de armazenamento na nuvem não aprovado. Meses depois, se Jane cometer o mesmo errado novamente, ela pode ser inscrita automaticamente em um curso de 15 minutos sobre armazenamento na nuvem aprovado e a maneira adequada para armazenar documentos da empresa. Esse é um exemplo perfeito de entrega de treinamento certo para a pessoa certa e na hora certa.

Separados das ferramentas de monitoramento de rede, ataques de engenharia social e phishing simulados revelam quais ações de risco os funcionários estão mais inclinados a adotar quando têm a oportunidade. Tais simulações podem empregar diversas técnicas inteligentes para coletar senhas, obter acesso a informações sensíveis ou obter acesso físico por meio de técnicas, como um e-mail simples ou chamada telefônica, passar por entradas aproveitando a credencial de outras pessoas ou deixar dispositivos USB de teste no ambiente de trabalho.

Diversos fornecedores oferecem programas simuladores de phishing como parte de um pacote de programa de conscientização. Mas fornecedores que se concentram maciçamente em phishing como todas as ameaças cibernéticas devem ser encarados com certo cuidado. Tal abordagem visa apenas um vetor de ataque e não realiza o trabalho de ajudar funcionários a verem a natureza complexa das ameaças.

Outra etapa importante para melhorar o desempenho e a cultura de funcionários é compreender os riscos específicos para a vertical da organização e seu ambiente empresarial único. Por exemplo, se uma organização possui um call center, seus funcionários vão enfrentar fatores de risco bastante diferentes daqueles encontrados por profissionais de um banco - é simplesmente a natureza do que o trabalho envolve. Compreender os fatores de risco em áreas específicas dos negócios permite que a organização entregue treinamento sobre medida para as linhas específicas de trabalho de profissionais, algo que é inerentemente mais aplicável e útil. (O treinamento perde boa parte de sua eficácia se não for relevante.)

Recentemente, a Comissão de Valores Imobiliários (SEC) dos EUA observou que ameaças cibernéticas são o maior risco para o sistema financeiro americano, com a presidente da SEC, Mary Jo White, dizendo que "O que descobrimos, como uma questão geral, é muita preparação, muita consciência, mas também que suas políticas e procedimentos não estão personalizadas para seus determinados riscos".3 Um relatório recente do Escritório de Inspeções e Exames de Conformidade (OCIE) da SEC examinou a indústria de seguros e recomendou que ela, como um todo, se "concentre em como o treinamento é personalizado para cargos específicos e como o treinamento é projetado para incentivar comportamento responsável de funcionários e fornecedores",4 garantindo maior suporte para a necessidade de treinamento que seja aplicável e útil.

Embora haja muitas ferramentas para análise, a meta delas é a mesma: criar uma lista de cinco a dez fatores de risco focados no aspecto humano que possam ser o foco de esforços para melhoria (não há um número ideal, mas programas mais eficazes limitam o número para concentrar seus esforços). Depois que esses fatores de risco relacionados ao aspecto humano forem compreendidos e descritos, a próxima etapa é desenvolver um plano para um programa de conscientização que trate dos fatores de risco. Assim como qualquer coisa na vida, o planejamento é essencial quando se fala em desenvolver um programa de conscientização amplo e de sucesso. Como parte do plano, as organizações devem se perguntar se estão preparadas para implementar ambos programas educacionais formais e informais. A sabedoria popular diria que o treinamento formal, muitas vezes na Web, é o caminho certo. Isso se deve, em grande parte, à facilidade pela qual os funcionários podem ser responsabilizados por realizar o treinamento, mas o programa de formação não pode parar aí se a organização realmente quer chegar aos seus funcionários e criar essa mudança importante no comportamento. Os melhores programas não contam exclusivamente com treinamento formal: em vez disso, eles se concentram em diversas medidas educacionais para comunicar o conhecimento e o comportamento desejado para funcionários.

Depois que uma organização tem um plano sólido, ela precisa avaliar rapidamente se possui ou não a capacidade de executar um programa e aproveitar seu plano. Por exemplo: a organização possui capacidade para oferece reforço educacional na forma de jogos, vídeos e pôsteres? Os executivos estão incluídos e dispostos a transmitir mensagens em sua comunicação diária com funcionários? Todas as pessoas certas estão no lugar para apoiar e ajudar na execução do programa? A capacidade organizacional para implementar um programa é essencial para realizar o plano e determinará se a organização pode ou não "Mergulhar" com uma campanha adaptativa de phishing, treinamento, pôsteres, jogos, animações e afins ao longo do ano.

Em organizações mais inovadoras, onde a meta é uma mudança de mentalidade, mensagens sobre proteção a informações se tornam parte da cultura diária. Isso pode incluir pôsteres memoráveis e atrativos nas paredes, reprodução de vídeos animados nas telas de saguões ou até mesmo um jogo onde as pessoas concorram umas contra as outras e permita que funcionários mostrem o que sabem sobre segurança e privacidade. Esses tipos de exemplos são o que faz a diferença quando combinados com treinamento mais formal e contínuo.

Um exemplo muitas vezes citado é a Microsoft, porque ela é ótima nisso. Qualquer um que já tenha andado por um de seus campi deve estar acostumado em ver mensagens sobre segurança e privacidade mudando constantemente. Um auditor ou executivo em qualquer empresa deve ver esses tipos de dispositivos de melhoria de conscientização quando caminhar pela empresa. Se isso acontecer, essa é uma indicação de uma empresa que fez tremendos esforços para proteger informações da empresa e motivar funcionários a fazer o mesmo. Além disso, um bom programa entrega treinamento que é específico ou baseado em cargos; funcionários em diferentes posições, como RH e TI, devem receber treinamento sob medida para suas especialidades. Por que isso importa? Funcionários de TI não precisam saber sobre proteger as conversas sobre possíveis contratações, mas precisam estar bem informados sobre como evitar acesso e uso de dados não autorizados. Da mesma forma, a equipe de RH não deve se preocupar com formação sobre práticas de transmissão de dados, enquanto a proteção de informações sensíveis de funcionários esteja exatamente em sua alçada. Outra forma de concentrar a formação naqueles que precisam dela é implantar um meio de avaliar a competência antes da realização do treinamento.

Como? Em vez de fornecer a todos treinamento sobre um conjunto inteiro de tópicos (a opção mais cara e demorada), os indivíduos podem ser treinados no em temas onde careçam de conhecimento, de forma individual. Por exemplo: Jane Doe recebeu cinco tentativas simuladas de phishing no ano passado e encaminhou todas elas para a TI sem clicar no link, enquanto John Doe caiu em três em cada cinco campanhas de phishing. Com base nessas informações, é possível concluir que Jane provavelmente não precisa de treinamento em phishing, mas John com certeza sim. Identificar fatores de risco em nível individual economiza tempo e dinheiro, uma vez que a organização provavelmente não precisa treinar John e Jane da mesma maneira. Como diz o ditado, "tempo é dinheiro", e quando funcionários gastam tempo sendo treinados em coisas que não precisam saber, eles estão potencialmente perdendo muitas das tarefas relacionadas ao trabalho e mais importantes (e chegando à conclusão que a segurança da informação não é importante!).

Mesmo a organização que identificou seus fatores de risco específicos, desenvolveu um plano e implementou um treinamento formal e informal pode ir mais longe se quiser avaliar se possui uma cultura de segurança. Isso é difícil de ser medido, mas não impossível. A coleta de informações nesse nível exige uma avaliação rigorosa do conhecimento de funcionários. Uma pesquisa de diagnóstico de cultura de segurança foi elaboradas para identificar e comprar culturas de segurança em organizações; ela pode ser acessada em People-Centric Security: Transforming Your Enterprise Security Culture.5

Opcionalmente, as organizações podem começar procurando por quais mensagens gerentes e executivos estão ou não comunicando quando o assunto é segurança. Além disso, os sistemas de reforço de segurança (por exemplo, denúncia de incidentes, análises de segurança sistêmicas) são valorizados e utilizados? Alguma das unidades de negócios fora da segurança de informação tenta abordar questões de segurança de modo significativo? Se a resposta para qualquer uma dessas perguntas for "não" ou "não sei", a organização pode não ter atingido um ponto onde possui uma cultura de segurança estabelecida, que deve fazer parte de seu plano para melhorar a postura de conscientização. Uma organização verdadeiramente madura, e uma que respeite os princípios de camadas 3 e 4 do CyberSecurity Framework (CSF) da NIST,6 encara a segurança da informação como um programa de autorreforço para melhoria contínua e não apenas um evento anual, como o antigo modelo de treinamento obrigatório. A CSF deixa claro que há níveis de maturidade de segurança cibernética e, de maneira similar, de maturidade de consciência. Esses níveis de maturidade são divididos de forma conveniente em camadas:

  • Parcial (camada 1)—A gestão de riscos é feita ad hoc com consciência de riscos limitada e sem colaboração com terceiros.
  • Informado sobre riscos (camada 2)—Há processos e programas de gestão de risco em vigor, mas não integrados em toda a empresa; a colaboração é compreendida, mas a organização carece de capacidades formais.
  • Repetível (camada 3)—Políticas formais para processos e programas de gestão de risco estão em vigor em toda a empresa, com colaboração externa parcial.
  • Adaptativo (camada 4)—Processos e programas de gestão de risco são baseados em lições aprendidas e incorporados na cultura, com colaboração proativa.

As organizações que tratam do treinamento como simplesmente um evento anual provavelmente estarão nas camadas 1 ou 2, enquanto as organizações que buscam melhorias contínuas estarão nos níveis 3 ou 4.

Qualquer que seja o nível de maturidade ou camada que uma organização busque, o caminho para compreensão e melhoria começa com dar um passo para trás e examinar as práticas existentes. As melhores organizações analisam seus fatores de risco humano usando diversas ferramentas diferentes; elas desenvolvem um plano para mudar o comportamento relacionado a esses fatores de risco; elas alinham seus recursos para executar o plano; e elas entregam formação adaptativa e flexível para as pessoas certas, quando e onde é necessário. Ameaças não vão diminuir e os melhores esforços de funcionários não estão acompanhando isso. A formação de consciência de segurança de funcionários deve se adaptar continuamente a ameaças novas e emergentes. A melhor maneira para alcançar essa meta é por meio de um programa de consciência adaptativo, sólido e coerente com os riscos.

Nota do autor

O autor gostaria de divulgar que a Microsoft realizou trabalhos com a MediPro no passado.

Notas

1 Verizon, 2016 Relatório de Investigações de Violações de Dados, www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
2 VMare, “The Cyber Chasm: How the Disconnect Between the C-suite and Security Endangers the Enterprise,” The Economist Intelligence Unit, 2016, www.vmware.com/radius/wp-content/uploads/2015/08/EIU-VMware-Data-Security-Briefing.pdf
3 Lambert, L.; “SEC Says Cyber Security Biggest Risk to Financial System,” Reuters, 18 de maio de 2016, www.reuters.com/article/us-finance-summit-sec-idUSKCN0Y82K4
4 Securities and Exchange Commission, “OCIE’s 2015 Cybersecurity Examination Initiative,” National Exam Program Risk Alert, vol. 4, iss. 8, EUA, 15 de setembro de 2015, https://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf
5 Hayden, L.; People-Centric Security: Transforming Your Enterprise Security Culture, McGraw-Hill, EUA, setembro de 2015
6 National Institute of Standards and Technology, Cybersecurity Framework, EUA, 2013, www.nist.gov/cyberframework/

Tom Pendergast, Ph.D.
É o arquiteto-chefe da estrutura de consciência adaptativa da MediaPro, uma visão sobre como analisar, planejar, treinar e reforçar para desenvolver um programa de consciência amplo, com a meta de desenvolver uma cultura consciente sobre riscos. Ele é autor ou editor de 26 livros e coleções de referência. Pendergast dedicou toda a sua carreira para a elaboração de currículos e conteúdos, primeiro em mídia impressa como o fundador da Full Cirle Editorial, e depois em soluções de aprendizado com a MediaPro.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.