Muitas empresas não medem esforços educando seus usuários em questões relacionadas a cibersegurança, seja por treinamentos em vídeo, presenciais, testes periódicos, certificados de conhecimentos básicos a seus funcionários, formulários e termos assinados. Embora os investimentos em cibersegurança nas grandes empresas continuam em uma evolução sem precedentes, muitos de seus usuários continuam “ignorando” e driblando as políticas de segurança e seus controles. Isso ocorre por diversos motivos, porem o termo “Técnicas de neutralização” vem cada vez mais chamando atenção dos CISOs de grandes empresas.
Um estudo realizado pelo Gartner no ano passado descobriu que 69% dos funcionários ignoraram as políticas de segurança de suas organizações nos últimos 12 meses e 74% disseram que estariam dispostos a fazê-lo se isso ajudasse eles ou a sua equipe a atingir um objetivo em seus negócios. E porque isso acontece? Sabemos que muitos dos controles relacionados a segurança de informação podem não ser confortáveis aos usuários, porém a resposta pode ser o que os criminologistas chamam de “Técnicas de neutralização”. Bloqueios que as pessoas usam instintivamente para “neutralizar” o erro ou o dano de uma ação. Os investigadores de segurança cibernética demonstraram que tais técnicas também desempenham um papel importante na vontade dos funcionários de ignorar as diretrizes de segurança cibernética dos seus empregadores.
As mentiras que contamos
O conceito de neutralização foi desenvolvido pela dupla de criminologistas americanos Greshan Sykes e David Matza nos anos 1950 para categorizar a forma como delinquentes juvenis auto negavam a culpa pelos atos ilícitos cometidos. Eles identificaram diversas técnicas de “neutralização” e criaram uma base para que outros criminologistas pudessem adicionar outras mais. Muitas dessas técnicas de bloqueio são utilizadas por funcionários de empresas de diversos setores para “driblar” os controles de segurança, e algumas delas podem lhe soar familiar. Veja alguns exemplos de técnicas identificadas pelos criminologistas:
Negação de culpa ocorre quando os funcionários se convencem de que nenhum dano ocorrerá por ignorar uma política de segurança, portanto, quebrar a regra é aceitável. E porque é aceitável, nenhuma punição é merecida.
Apelo pela alta lealdade ocorre quando os funcionários colocam as exigências de um projeto de trabalho ou de um gerente acima do cumprimento de uma política de segurança. Eles sabem que ignorar a política é errado, mas fazem da lealdade a alguém ou a algo, um imperativo que se sobrepõe a isso.
A negação de responsabilidade ocorre quando os funcionários se recusam a assumir responsabilidade pelos seus atos praticados, racionalizando que a situação está além de seu controle. Eles podem alegar que não tinham conhecimento de uma política de segurança específica ou que não receberam o treinamento adequado para implementá-la.
A metáfora da razão é uma técnica na qual os funcionários registram mentalmente todas as coisas positivas que fazem, como fazer horas extras ou cumprir cotas, e comparam-nas com seus comportamentos negativos ocasionais. Se as ações positivas superam as negativas, eles dizem a si mesmos que poderiam quebrar uma regra de segurança ocasionalmente sem se sentirem culpados.
A defesa da necessidade é quando os funcionários se convencem de que foram forçados a se comportar de determinada maneira em uma determinada situação, então não é culpa deles. Por exemplo, justificam o download de software não autorizado da Internet porque precisam dele para cumprir um prazo apertado.
A condenação dos condenadores envolve criticar aqueles que implementam e aplicam as políticas de segurança e usar isso como justificativa para ignorar as regras. Por exemplo, os funcionários podem acreditar que a equipe de segurança de informação não é flexivel ou está fora de sintonia com as necessidades dos negócios da empresa, então eles veem suas políticas como inválidas e passíveis de serem ignoradas.
Como a gestão da cibersegurança pode ajudar nesses casos?
A primeira ideia que vêm a nossa cabeça é a de reforçar que os funcionários podem sofrer sanções caso violem alguma política de segurança, muitas dessas sanções inclusive fazem menção direta a demissão do funcionário. Infelizmente essas sanções por fazerem algo errado é exatamente o que as técnicas de neutralização são mais efetivas. Se alguém se convence de alguma forma de que violar uma política de segurança não é errado em alguma circunstancia, porque eles temeriam alguma repreensão?
Primeiramente, as equipes de segurança podem fornecer treinamentos sobre técnicas de neutralização, explicando seu uso e o porque elas não são justificaveis. Considerando que muitas dessas técnicas sejam comportamentos muitas vezes naturais, trazendo elas a tona faz as pessoas analisarem a sí mesmos de uma maneira que nunca fizeram antes.
Uma experiencia efetuada por especialistas em cibersegurança com 87 colaboradores de uma grande multinacional, 21 deles receberam treinamentos padrão sobre noções basicas de cibersegurança enquanto outros 66 receberam um treinamento de segurança focado em técnicas de neutralização – como as explicadas anteriormente.
Por exemplo, em um dos exercícios o instrutor descreveu como as pessoas normalmente usam uma “defesa da necessidade” para justificar a escolha de senhas fracas, acreditando que senhas fortes são demasiado onerosas para utilizar. Em seguida, o instrutor discutiu por que essa noção não é necessariamente verdadeira e demonstrou maneiras práticas de escolher senhas fortes e utilizáveis. Em outro exemplo, o instrutor explicou como as pessoas usam a técnica de “negação de culpa” para racionalizar que nenhum dano é causado ao usar uma senha fraca. O instrutor então mostrou por que essa visão é falsa, demonstrando quão facilmente os hackers podem adivinhar senhas fracas e os danos que podem ser causados com esse acesso.
Os colaboradores deste último grupo relataram uma intenção substancialmente maior de cumprir a política de segurança no futuro e uma menor concordância com as técnicas de neutralização em comparação com os do grupo de controle. Essas diferenças persistiram três semanas depois, em uma pesquisa de acompanhamento.
Entendendo a mensagem
Em segundo lugar, caso não seja viável um treinamento desse tipo, as empresas podem abordar estas técnicas através de comunicações regulares aos usuários.
Num estudo, foram apresentados a 200 profissionais cenários hipotéticos em que um indivíduo utilizava uma técnica de “defesa da necessidade” ou de “negação de culpa” para violar uma política de segurança. Eles foram questionados sobre a probabilidade de se comportarem da mesma maneira em uma situação semelhante.
Metade dos cenários incluíam uma mensagem que confrontava diretamente as técnicas específicas de neutralização, tais como: “Embora as pessoas acreditem que o compartilhamento de senhas pode ser justificada em determinadas circunstâncias sem quaisquer consequências reais, a adesão a esta política é importante; o compartilhamento de senhas não deve ser justificado por nenhum motivo.”
Os resultados mostraram que aqueles que receberam mensagens que confrontavam diretamente técnicas específicas de neutralização relataram uma probabilidade muito menor de violarem a política de segurança se estivessem na mesma situação. Isto sugere que o simples fato de estar consciente das influências subjacentes às técnicas de neutralização pode ajudar a reduzir a sua usar.
A principal conclusão destes estudos é que as organizações precisam de compreender que a neutralização ocorre naturalmente nas pessoas e que o devido tratamento e instrução a seus funcionários a reconhecer e rejeitar estes “bloqueios” e a ver as políticas de segurança cibernética como questão essencial para o seu dia a dia.
Fonte: Wall Street Journal – Por Anthony Vance – [email protected]
1 thought on “Por que os funcionários continuam ignorando as regras de segurança cibernética no local de trabalho”
Comments are closed.