0
0
Uma das razões pelas quais a segurança cibernética é incrivelmente difícil é que ela toca tantas áreas da empresa. Embora seja tentador focar em pontos finais de dados e pontos de intersecção, como as pessoas usam, o uso indevido e os sistemas de abuso também tem um impacto profundo na segurança.
“Design e usabilidade são pilares para uma forte segurança”, diz Damilare Fagbemi, sócio fundador da Resilient Software Security. “A maneira como as organizações abordam interfaces e usabilidade tem um grande impacto na imagem, mas também em se todos podem permanecer seguros.”
É claro que a interface do usuário (UI) e a experiência do usuário (UX) impactam inúmeras áreas, incluindo sites, aplicativos, e-mails, mensagens de texto e até documentos físicos. Eles podem se cruzar com métodos de autenticação, carrinhos de compras e áreas tão diversas quanto marketing e suporte a produtos. Também é extremamente fácil esquecer que a INTERFACE UI e o UX afetam os funcionários que usam sistemas e dispositivos.
“As proteções de segurança cibernética devem ser perfeitamente incorporadas aos processos de design”, diz Therese Schachner, consultora da VPN Brains. “As pessoas exigem instruções abrangentes e diretas para várias tarefas, incluindo a criação de senhas e o uso de autenticação multifatorial.”
Dark Reading falou com especialistas sobre a intersecção entre segurança e design. Embora a INTERFACE UI e o UX possam parecer duas entidades distintas — e até certo ponto são coisas separadas — elas também estão indissociáveis. Este artigo explora os elementos visuais que levam a um design seguro.
Os elementos visuais por trás do design seguro
As organizações procuram aumentar a segurança, uma coisa que muitas vezes é negligenciada (ou até mesmo ignorada) é o design seguro. Parece importante, mas um site, aplicativo ou mensagem deve ser mais do que apenas outro rosto bonito. Vários elementos devem ajudar as pessoas a se afastarem de erros e ações que levem a falhas de segurança e quebras. Enquanto ninguém quer implementar controles de segurança, todos reconhecem que são essenciais.
Um ponto de partida para uma jornada para uma interface de usuário segura e UX gira em torno de um objetivo básico, mas crucial: “desenvolver segurança que frustra atacantes, não usuários”, diz Amber Lindholm, chefe de design da Duo Security na Cisco. A experiência do usuário para qualquer aplicativo de segurança pode fazer ou quebrar a utilidade e o valor de segurança dessa ferramenta. Uma boa experiência de usuário é simples e fácil de navegar, permitindo que o usuário consiga fazer as coisas.”
Infelizmente, muitos elementos de design realmente minam a segurança, criando atrito suficiente para incentivar os visitantes a abandonar suas tarefas. Por exemplo, um formulário de entrada de senha que continuamente força um usuário a recomeçar depois que os critérios exatos não são atendidos pode levar a uma senha fraca, mas aceitável. Se um procedimento de logon para um aplicativo for muito complicado ou exigir redefinições constantes de senha, as pessoas desligarão os controles ou os contornarão completamente.
Cores, designs, fluxos de trabalho e fontes inconsistentes também podem causar estragos na segurança. Eles podem confundir as escolhas e enterrar o caminho correto. Por exemplo, quando todos os botões sim e nenhum em uma página da Web ou aplicativo aparecem em uma cor monótona, há uma janela maior para erro. A falta de uma explicação básica de um elemento de segurança e instruções sobre como usá-lo podem minar boas escolhas. Além disso, é fundamental limitar as escolhas — ou pelo menos reduzir escolhas desnecessárias — especialmente quando uma pessoa visita pela primeira vez um site. Isso inclui forçar os usuários a fazer tarefas como aceitar notificações push ou criar uma conta.
“Qualquer que seja o formato de design que você usa, ele tem que promover a segurança e evitar a sobrecarregação das pessoas”, diz Tyler Klein, diretor executivo de experiência da empresa de design digital Robots & Pencils.
O desafio é ampliado quando as empresas realizam negócios globalmente. “Cores, formas e padrões diferentes têm significados diferentes em diferentes países ou culturas. Você tem que pensar nesses elementos com cuidado”, diz ele.
Designs em elementos de design de segurança
Todos devem apontar na direção de controles de segurança fortes, mas fáceis de usar. Um objetivo principal é evitar a cultura de contornar. “A ideia é frustrar os atacantes, não os usuários”, explica Lindholm.
Um ótimo site, aplicativo ou elemento constrói confiança, diz Klein. Ele explica as coisas claramente e exibe elementos de segurança de forma intuitiva. “Você não quer dúvidas na mente dos usuários de que eles estão fazendo as coisas certas”, diz ele.
Um bom exemplo de design seguro é uma caixa de criação de senhas que fornece feedback instantâneo. À medida que uma pessoa entra em várias letras, números e símbolos, a caixa exibe um cheque verde ou um X vermelho ao lado dela. Quando é usado com um visualizador de texto claro, isso é ainda melhor – o usuário não precisa adivinhar o que constitui uma boa senha ou se preocupar com o que está digitando. No final, o usuário não é submetido a repetidas falhas e forçado a recomeçar.
O design seguro também se estende a e-mails e mensagens de texto. Ele pode incluir elementos como a exibição de um número de conta parcial ou outras informações não confidenciais para ajudar a comprovar a validade da mensagem. Um número crescente de empresas também começou a usar um banner de segurança que exibe informações importantes, como dizer aos usuários para se absterem de clicar em links em seu e-mail ou dizer que nunca pedirão informações confidenciais por telefone.
O denominador comum, explica Lindholm, é que um site, aplicativo ou mensagem eletrônica bem projetado traz clareza e atenção às informações certas no momento certo. Informações críticas são altamente visíveis em praticamente todos os elementos, incluindo o tamanho relativo ou hierarquia de objetos, cores e formas, posição na tela e espaço branco. Esses elementos, diz ela, “chamam a atenção ou ajudam um usuário a navegar em uma tela ou fluxo”.
Os especialistas dizem que a boa segurança segue um caminho chamado divulgação progressiva. O objetivo é fornecer o nível adequado de controles de segurança no momento certo. Informações ou fluxos de trabalho mais complexos aparecem apenas conforme necessário.
Por exemplo, Klein diz que um varejista pode personalizar uma experiência e permitir que uma pessoa coloque coisas em um carrinho de compras com poucos controles de segurança. No entanto, quando a pessoa quer fazer uma compra ou interagir com sua conta, ela deve fazer login. Em uma linha semelhante, um banco pode facilitar o depósito de fundos em uma conta, mas exigir que um cliente passe por aros adicionais de segurança para sacar dinheiro.
Ao longo do caminho, pistas apropriadas são primordiais. Assim como uma luz de elevador mostra que foi solicitada e em que andar está atualmente, as técnicas de design de boas práticas mantêm os usuários informados. Isso pode significar criar uma lista de verificação com luzes verdes à medida que os itens são concluídos, ou pode incluir mensagens de texto e e-mail.
“Quando sites ou aplicativos não seguem essas regras gerais, as pessoas têm desafios para completar tarefas e cometer erros inesperados”, diz Lindholm.
Como fagbemi diz: “Você quer fazer todo o possível para incentivar o comportamento certo. Elementos de design combinados com os processos certos e fluxos de trabalho podem levar a uma segurança muito melhor.”
FONTE: DARK READING