0
0
É uma peculiaridade da natureza humana que temos dificuldade em contemplar noções abstratas de perigo, especialmente quando ela é introduzida a nós por outros. Nos exemplos mais simples, imagine um sinal, colocado ao lado de uma superfície, que diz “Tinta Molhada“. De 100 pessoas, quantas você acha que tocarão a superfície para ver se ela está realmente molhada? A resposta é sempre mais de 50%.
Esta condição tem um nome, sem surpresas chamado “Síndrome da Tinta Molhada“. Surge da ideia de que, quando confrontado com uma situação que exige o cumprimento, sempre haverá uma proporção de uma população que rejeitará a instrução, por uma das poucas razões:
- Beligerância – a recusa de saber o que fazer, resultando em uma reação diretamente oposta: Você me diz para não tocar na tinta, então eu vou tocá-la.
- Descrença individual – o sinal pode ser velho, e a tinta já pode estar seca, então eu mesmo vou verificar.
- Descrença coletiva – Eu vi essa pessoa tocá-la, então eu vou tocá-la.
- Descrença cultural – o sinal é fake news.
- Ignorância – Li a placa, mas o aviso não se registrou comigo como algo que eu deveria prestar atenção.
- Reflexo– Li o sinal e, sem pensar, toquei na tinta mesmo.
Os humanos são guiados em parte por instinto e reflexo. Se não podemos perceber o perigo através de nossos sentidos físicos, então não podemos processá-lo com precisão. Uma cobra venenosa, leite estragado, cheiro de fumaça ou a imagem de uma poça de sangue humano – são estímulos que fazem a maioria das pessoas recuar. Essas formas de perigo são aceitas como reais.
CIBERSEGURANÇA: A AMEAÇA INVISÍVEL
Quando se trata de atividades de ciberhigiene, a ameaça que buscamos evitar parece, para muitos usuários finais, ser invisível ou inconsequente. Não será até o momento em que uma tela de computador congela e revela um aviso de ransomware de que os perigos da segurança frouxa se tornam reais.
As pessoas estão sofrendo de cansaço de alerta. As pessoas se cansaram de pedidos repetidos para atualizar suas senhas e, por isso, simplesmente modificam um dígito, atualizando de “Mary123” para “Mary124”.
Mas aqui está o kicker. Quando oferecida a oportunidade de usar uma solução para essas tarefas tediosas, como um gerenciador de senhas, as pessoas recuam ainda mais. Um gerenciador de senhas é um aplicativo que gera senhas de sequências aleatórias de caracteres, como 86vPH*r1en@2@4FH. Estes são extremamente difíceis e demorados para os hackers adivinharem, mas são igualmente difíceis para as pessoas memorizarem. Mas quando é explicado que eles não têm que memorizá-los em tudo, e que o gerenciador de senhas simplesmente os preenche quando necessário, as pessoas empurram para trás. O conforto que sentem em ser capazes de lembrar suas senhas excede o de ter senhas infinitamente mais seguras que não podem memorizar.
Qualquer especialista em segurança que tenha tentado explicar os gerenciadores de senhas terá experimentado esse tipo de pushback. Eles provavelmente terão parado de tentar explicar exatamente como os gerenciadores de senhas criptografam senhas em um nível de dispositivo usando uma técnica de hashing salgada onde nenhum dos componentes, incluindo a senha mestre, na verdade são armazenados pelo próprio gerenciador de senhas. Este é um tipo de magia negra que faz com que os olhos da maioria das pessoas vidreçam.
A EXPERIÊNCIA EM SEGURANÇA CIBERNÉTICA INCLUI ALGUMA PSICOLOGIA
A questão é que as pessoas em geral não podem sentar-se confortavelmente com a mudança porque a mudança significa confrontar o desconhecido. Os especialistas em segurança cibernética devem perceber o quão frágil é o instinto humano quando enquadram argumentos em torno de protocolos de segurança e segurança. Às vezes tudo se resume a mudar a resistência quando eles ouvem comentários como “como posso confiar em uma senha que eu não posso memorizar“, ou “na minha época nós nunca precisamos de Autenticação de Dois Fatores, então eu não estou usando agora.”
Assim como um vírus que se espalha rapidamente, basta uma pessoa fazer esse contato inicial com um link de e-mail infectado para penetrar nas defesas de uma organização e das organizações às qual está conectado.
O portfólio de habilidades de um especialista em segurança cibernética deve incluir alguma psicologia, que pode ser transformada em empatia, gerenciamento de mudanças e habilidades de comunicação. Embora um pilar central do trabalho seja ser proativo, o sucesso no campo da segurança não estará completo até reconhecermos o quão incompatível é o conceito de proatividade com as prioridades cotidianas dos usuários finais e enquadrar nossas estratégias de comunicação em torno disso.
Para obter mais informações, leia o white paper Proactive Cybersecurity Beyond COVID-19 .
FONTE: CLOUDTWEAKS