Ano após ano a engenharia social, um dos mais antigos métodos de invasão, senão o mais antigo, continua ativo como o mais utilizado pelos criminosos cibernéticos mundo afora. O motivo é claro: ele é simples, funciona na maioria das vezes e é muito eficiente. É de se perguntar por que, após mais de três décadas, o método imortalizado por Kevin Mitnick continua a ter uma altíssima taxa de sucesso. E a resposta está em nós.
Nosso cérebro tem, por assim dizer, uma vulnerabilidade "by design", que é acreditar ou confiar. Acreditamos primeiro para desconfiar depois, tanto que não é à toa que o velho golpe do falso sequestro continua a enganar vítimas. A essa tendência de acreditar primeiro se junta o mecanismo de pensamento descrito pelo psicólogo Daniel Kahneman em seu best-seller "Rápido e Devagar – duas formas de pensar", título da publicação no Brasil. A primeira forma de pensamento é analítica e, por isso, lenta. Esse tipo de pensamento traz algumas desvantagens. A primeira delas é que nosso cérebro é um dispositivo que consome uma quantidade extremamente alta de energia quando pensa dessa forma. A segunda é que atrapalha a sobrevivência em situações que exigem uma decisão muito rápida. Se você pensou em nossos ancestrais reagindo a um leão correndo em sua direção, estão certos. Não dá tempo para pensar. Assim, nosso sistema possui um mecanismo de pensamento e decisão rápido, intuitivo e mais sujeito a influências emocionais.
Há ainda um terceiro mecanismo, uma vantagem fisiológica que nos acompanha desde o nascimento, e nos faz ser quem somos: a curiosidade. Somos curiosos, e por isso aprendemos, mas também caímos em algumas ciladas, algumas delas cibernéticas.
É por isso que desde a infância temos que aprender a desconfiar. Dizemos aos nossos filhos para não aceitarem doces de estranhos, e precisamos dizer a nós mesmos que uma ligação que diz ser do seu banco e que veio do nada provavelmente será golpe. Porém, mais que somente aprender, precisamos sempre ser lembrados, sob risco de esquecer e voltar ao estado padrão de pensamento. Essa é a base de qualquer treinamento ou programa de conscientização em segurança da informação – ensinar provendo ferramentas e técnicas; conscientizar sobre o manuseio das informações; testar o nível de conhecimento e influenciar o comportamento através de nudges, ou "cutucada", em português; e lembretes.
Colocando em prática
O treinamento deve se iniciar já na entrada do colaborador na empresa, e devem ir além dos temas habituais da escolha e guarda das senhas, das regras de manipulação de dados e arquivos, entre outros. Um tema chave é ensinar os novos colaboradores a usar de maneira segura o e-mail e os aplicativos de colaboração, identificando uma mensagem de phishing ou fraudulenta, ou ao menos suspeitar dela. Dessa forma, antes de clicar em uma URL ou abrir um arquivo, a pessoa deve aprender a rapidamente identificar eventuais problemas, como um domínio diferente, mesmo que ligeiramente. Outros sinais de alerta incluem pedidos inesperados ou incomuns, linguagem de urgência, URLs diferentes do esperado, erros de linguagem ou marca e anexos normalmente não enviados pelo remetente. Colaboradores de algumas áreas como financeira ou compras devem também aprender a reconhecer um e-mail BEC (business email compromisse), que deverá solicitar alguma ação rápida como transferência de valores ou mudança nas configurações de pagamento.
Os novos colaboradores também devem se familiarizar com os meios seguros para compartilhar informação e dados sensíveis, incluindo uma atenção dupla ao enviar esses arquivos por e-mail, verificando com cuidado o nome dos destinatários. Devem ser instruídos, também, a como reportar incidentes de segurança, mesmo que seja apenas uma suspeita.
Algo que normalmente não ocorre nas empresas sãotreinamentos nas movimentações interdepartamentais e no ingresso desses colaboradores em áreas com mais acesso a dados confidenciais ou a ativos financeiros. Uma pessoa que migre de RH para compras, ou vice-versa, passa a ter um perfil de risco diferente, e por isso deve receber um pequeno treinamento sobre como realizar sua nova função com segurança. Uma razão para que não ocorra é porque poucas organizações adotam treinamentos personalizados por departamento, uma característica essencial para a eficiência do programa. Usuários de RH e compras, para usar o exemplo anterior, possuem perfis de risco diferentes, e, portanto, irão sofrer ataques diferentes, mesmo que a base de conhecimento seja a mesa. Ao personalizar, também tornamos os treinamentos mais interessantes, por reproduzir situações do dia a dia da pessoa, que passa a ser identificar com elas, o que aumenta a absorção.
Para ser efetivo, no entanto, o treinamento também deve ser contínuo. Porém, repetir um treinamento longo e genérico faz com que seja entediante. Há até como forçar que a pessoa o assista na integra, mas não há como garantir que seja absorvido. Por isso, é necessário que seja personalizado, como já comentado. A periodicidade também pode ser personalizada, com um treinamento anual de atualização para todos, que pode ser substituído por um teste de conhecimento, e ações sob demanda de acordo com alguns gatilhos, como a quantidade de e-mails maliciosos recebidos ou usuários que costumam clicar em URLs de e-mails de teste de phishing.
Esse é outro componente essencial para o programa. Mas os testes devem ser o mais próximo possível de e-mails reais, e com diferentes níveis de dificuldade. Um erro comum é associar um treinamento de reforço para aqueles que falharam a uma punição. O treinamento deve ser obrigatório, mas não deveria parecer uma punição. Um bom método é o premiar e motivar aqueles que tiveram sucesso nos testes.
As vantagens ao implementar um bom programa de treinamento e conscientização em segurança são inúmeras, mas o principal é de transformar usuários em defensores.
Marcelo Bezerra, especialista em cibersegurança da Proofpoint.
