0
0
Andy Ellis, consultor da CEISO para a Orca Security e um veterano de longa data da Akamai, gosta de contar uma história sobre um incidente de segurança potencialmente grave. Um de seus membros da equipe estava testando a integração de e-mail de um novo sistema de rastreamento de incidentes. Infelizmente, o e-mail de teste, intitulado “[TEST] Meteor strike destrói a sede”, foi para todos na empresa e criou um loop que derrubou os servidores de correio.
Como Ellis relata: “No dia seguinte, o funcionário responsável twittou uma foto de si mesmo treinando para uma corrida de 5K, e eu respondi: ‘Preparando-se para fugir do meteoro?'”
A lição séria disso é reconhecer, mas perdoar erros. “Ele disse, muitas vezes, que sabia naquele momento que ia ficar tudo bem”, diz Ellis. “Criar uma cultura segura requer muitas práticas, e uma delas é o encerramento. O humor é uma ótima maneira de proporcionar o encerramento porque você raramente ri de algo que ainda está criando tensão.”
Não há muito do que rir em segurança cibernética, com equipes de segurança lutando contra um número crescente de ataques cibernéticos e implantando medidas de proteção para um ambiente em rápida evolução. Mas a segurança não deveria ser sobre vencer as pessoas para fazer a coisa certa ou assustá-las com a perspectiva de punição. Para a segurança ser um esporte de equipe, você precisa fazer as pessoas quererem jogar.
É de vital importância para o seu negócio criar uma cultura de segurança — ou seja, uma atmosfera em que alguém que bagunça e quebra algo sente que pode denunciá-lo sem ser explodido por suas ações. Essa ideia não é nova, mas considerando análises recentes sobre como algumas empresas não estão apoiando seu código fonte, às vezes as histórias precisam ser repetidas. Veja como construir uma organização que incentive as pessoas a admitir seus erros.
O que é um erro?
Uma cultura de segurança positiva é definida por uma atmosfera em que as pessoas se sentem seguras para admitir quando cometem um erro, e a base para isso é tornar mais difícil para as pessoas cometerem erros. Para isso, é útil examinar os diferentes tipos de erros e como abordá-los.
De acordo com a loja de experiência do usuário Nielsen Norman Group, existem dois tipos de erros: deslizes e erros. Um deslize é como um erro de digitação, onde o erro ocorre por causa da desatenção do usuário. Isso é o que acontece quando, por exemplo, uma pessoa digita o comando errado em um script shell e exclui em vez de ler um arquivo. Alguns tipos de deslizamentos são inevitáveis, mas você pode reduzi-los abordando problemas de interface: facilitando a geração e gerenciamento de senhas seguras ou definindo o botão OK mais longe do botão de reset, por exemplo.
Erros são o que acontece quando o usuário não entende o objetivo e como realizá-lo – você pode passar pelos passos corretos, mas você não alcançará seu objetivo porque você está no caminho errado. Um exemplo clássico, e particularmente alto é um erro médico, onde alguém dá ao paciente a medicação errada porque os rótulos são muito semelhantes ou o frasco é armazenado no lugar errado. Isso geralmente é o que as pessoas querem dizer quando dizem “erro do usuário”.
Mas podemos olhar para esse tipo de erro como um erro de design, em vez de um erro do usuário, e começar a aprender como enfrentá-los.
“Prática dizendo que ‘o erro humano é um sintoma de um sistema que precisa de redesenho’, que aprendi com [a professora do MIT] Nancy Leveson”, diz Ellis. “Uma vez que você aceita a verdade da declaração, você pode começar a ver problemas mais profundos e realmente começar a aprender com incidentes. Um empregado foi phished? Você pode perceber que o sistema quebrado é o quão perigosos são os clientes de e-mail, navegadores e autenticação de rede.”
O que é cultura de segurança?
A ideia de que o erro humano é o sintoma, não a doença, é proeminente no trabalho de Leveson. Ela é professora de aeronáutica e astronáutica, onde pequenos erros podem custar milhões de dólares – e vidas humanas. Seu trabalho como diretor da Parceria do MIT para Abordagens de Sistemas para Segurança e Segurança ondula fora da aeronáutica e em campos menos físicos, como a segurança cibernética, como mostram as observações de Ellis.
“Por muito tempo, a segurança cibernética tem sido percebida como um desafio puramente técnico. Organizações e líderes estão agora percebendo que também temos que abordar o lado humano da gestão da segurança cibernética”, diz Lance Spitzner, diretor de pesquisa e comunidade da SANS, na introdução de seu curso “Leading Cybersecurity Change: Building a Security-Based Culture”.
Jessica Barker, co-CEO da Cygenta e autora do livro “Segurança Cibernética Confiante”, cita o trabalho de Sidney Dekker sobre “cultura justa” como fundamental para a implementação da tecnologia de segurança focada no homem. Dentro da segurança cibernética, por exemplo, apenas a cultura pode envolver colocar uma forte autenticação de identidade e acesso (IAM) e autenticação multifatorial (MFA) em vez de dinging trabalhadores para senhas comprometidas ou falhas de autenticação.
“Quando uma cultura é retribuitiva, há um foco nos indivíduos que buscam colocar a culpa e administrar a punição. Muitas vezes as pessoas se tornam um bode expiatório para problemas sistêmicos”, diz Barker. “Uma cultura justa restauradora, por outro lado, analisa as condições mais profundas que facilitaram o incidente e é mais prospectiva, mantendo as pessoas em conta conforme apropriado.
“Uma cultura justa restauradora reconhece que enfatizar a culpa e a punição individuais não reduz a probabilidade de incidentes, simplesmente reduz a probabilidade de pessoas relatarem incidentes e, portanto, mina oportunidades de identificar questões sistêmicas e aprender com eles.”
Como começar a construir uma cultura de segurança
Para tomar emprestado do mundo médico de vida ou morte, a Escola de Saúde da Universidade de Utah compartilha três princípios para a construção de uma cultura de segurança:
- Coisas acontecem. Reconhecer e relatar erros — todos cometemos erros.
- Sem culpa. Apoie uma cultura sem culpa, falando e encorajando outros a levantar preocupações.
- Melhore continuamente. Comprometa-se com a aprendizagem e prevenção orientadas a processos.
Brian Wrozek, CISO da Optiv Security, diz que o maior obstáculo para a construção de uma cultura de segurança é “tempo e esforço”.
“As organizações que são sérias sobre isso tornam a construção dessa cultura uma prioridade. Isso não acontece por acaso”, acrescenta. “Muitas vezes, os profissionais de segurança e de TI assumem que os funcionários sabem melhor ou que saberão agir ou relatar comportamentos suspeitos. É importante afirmar claramente por que certos procedimentos estão em vigor, além de como segui-los.”
O treinamento em práticas de segurança é uma parte vital para construir uma cultura de segurança, de acordo com Wrozek.
“As sessões de conscientização e treinamento precisam acontecer com frequência”, diz ele. “As organizações podem institucionalizar uma cultura de segurança mais saudável realizando exercícios de mesa para garantir que os funcionários recebam práticas práticas na resposta a diferentes cenários.”
Cultura de Segurança em Ação
Wrozek, da Optiv Security, compartilha sua própria experiência positiva com a cultura de segurança no início de sua carreira. Ele estava selecionando pessoas em uma reunião de acionistas, verificando se eles tinham o cartão que lhes concedeu permissão para entrar. Mas um membro da liderança corporativa se aproximou sem o cartão.
“Eu estava rasgado. Peço-lhes o cartão e arrisque ser demitido… ou eu só deixá-los em assumindo que eles são permitidos? Wrozek disse. “Bem, eu educadamente pedi o cartão à pessoa e fiquei agradavelmente surpreso quando a pessoa disse: ‘Eu não tenho porque deixei na minha mesa. Você está certo, no entanto. Eu vou voltar e pegá-lo. Bom trabalho. Quando a liderança segue as regras em vista dos outros e elogia aqueles por seguirem procedimentos adequados, mesmo quando pode ser desconfortável, envia uma mensagem poderosa para o resto da empresa.”
Isso ressoa comigo. Em 1996, eu acidentalmente apaguei a página de respingo para o The Site, o site do programa de televisão de mesmo nome da MSNBC. Visitar a URL do site principal produziria um erro de 404. Eu tinha um servidor Unix em casa, então eu estava apenas brincando no meu novo trabalho e explorando o sistema de pastas – e eu bati na tecla errada. Eu pulei e corri para o webmaster, que restaurou em momentos de um backup. De alguma forma ela não entrou em pânico, e eu nunca ouvi qualquer retaliação sobre o incidente. Foi um estudo de caso tanto em coisas feitas corretamente (bons backups, boa atmosfera de trabalho) quanto errado (permissões de papel excessivamente permissivas, sendo eu um idiota).
“Equipes de segurança e empresas de segurança frequentemente operam apelando para o medo, a incerteza e a dúvida (FUD). Isso cria alarme, promove a desconfiança e, em última instância, mina o objetivo de empoderar as pessoas”, diz Kim Burton, chefe de confiança e compliance da Tessian. “As equipes de segurança podem incentivar o compartilhamento vulnerável, tornando-se parceiros confiáveis, deixando seu ego na porta e centralizando as necessidades de seus colegas de trabalho. As ações de uma equipe de segurança precisam espelhar a cultura desejada. As pessoas não precisam ter medo de tomar as medidas apropriadas – elas só precisam de um aliado compassivo.”
Coisas acontecem: Reportando
Uma das funções mais importantes para uma cultura de segurança implementar é um sistema para que as pessoas denunciem incidentes. De acordo com as Sociedades Nacionais de Ciências, Engenharia e Medicina, existem dois tipos de sistemas de notificação: obrigatório e voluntário.
“Os sistemas de emissão de relatórios têm potencial para atender duas funções importantes. Eles podem responsabilizar os provedores pelo desempenho ou, alternativamente, podem fornecer informações que levem a uma melhor segurança”, explicam as Sociedades Nacionais em sua publicação “To Err Is Human: Building a Safer Health System”. Embora os sistemas de relatórios obrigatórios catalogem erros para atribuir responsabilidade (muitas vezes para atender às necessidades regulatórias ou dos acionistas), os sistemas voluntários geralmente são confidenciais, destinados a catalogar erros que não resultaram em danos graves; “quase erra”, onde alguém pegou o frasco de remédio errado, mas percebeu imediatamente; ou em segurança cibernética, quando um usuário recebeu uma mensagem suspeita no Outlook, mas relatou-a com o botão Report Phish.
“Como uma empresa reage a alguém relatando um problema ou incidente está realmente dizendo: Se há uma ênfase na punição sobre identificar e abordar as causas básicas, então outras pessoas não se sentirão seguras relatando problemas no futuro”, adverte Barker, da Cygenta. Mas se as pessoas são tratadas com justiça e compaixão quando relatam um incidente, isso ajuda a construir uma cultura de confiança e segurança psicológica na qual os indivíduos vão se sentir mais confortáveis falando.”
Wrozek, da Optiv Security, compartilha sua lista de elementos para um bom sistema de relatórios:
- Documentado e transparente: “É importante ter processos documentados e transparentes sobre como as investigações internas e as respostas a incidentes são tratadas. São eventos potencialmente graves, e é bom saber que serão tratados profissionalmente e de forma justa e repetível.”
- Amplamente baseado: “Inclua outros no processo [segurança, RH, jurídico, ética] para oferecer diferentes perspectivas e evitar qualquer aparência de aleatoriedade, favoritismo ou retaliação ao determinar consequências.”
- Confidencial: “Certifique-se de proteger a confidencialidade da pessoa.”
- Oportuna: “Compartilhar casos de uso interno e histórias de sucesso destacando como a reportagem impediu que os danos fossem piores.”
- Conveniente: “Por fim, facilite a denúncia de incidentes e ofereça vários caminhos [e-mail, voz, anônimo].”
“Abordamos um pouco os relatórios nos módulos de treinamento de conscientização da Mimecast. Quanto mais cedo os profissionais de segurança se conscientizarem de um problema potencial, mais cedo poderão começar a amenizá-lo”, diz Jann Yogman, diretor sênior de gerenciamento de produtos da Mimecast. “A nova série de Treinamento Executivo da Mimecast fala especificamente sobre como os líderes podem criar um ambiente onde os empregadores se sintam capacitados a relatar incidentes, admitir erros e verificar pedidos quando não têm certeza se são reais.”
Sem culpa: Incentivar a Comunicação
Barker, da Cygenta, cita um cliente que incentivou a reportagem de erros até graves, mudando a forma como eles reagiram aos erros dos participantes em um exercício de phishing.
“Em vez de emitir avisos às pessoas para clicar em phishes simulados, elas agora recompensam e celebram aqueles que mais relatam e que relatam o mais rápido”, diz ela. “Ao se concentrar no reforço positivo do comportamento desejado, essa organização viu um enorme aumento em sua taxa de relatórios.”
Ellis, da Orca Security, concorda, e acrescenta que a reportagem também não deve ser punida indiretamente.
“Um elemento-chave de uma cultura de segurança é agradecer às pessoas que relatam seus próprios ‘erros’ e não saciá-los com mais trabalho”, diz ele. “Muitas organizações respondem a esses momentos, infelizmente, adicionando processos onerosos que não aumentam a segurança, mas aumentam o esforço. Essas são muitas vezes vistas como medidas punitivas, que tornam seu povo menos propenso a identificar e relatar problemas.”
As organizações devem, em vez disso, adotar a abordagem oposta, aconselha.
“Os líderes precisam se recusar vocalmente e visivelmente a punir as pessoas por erros, agradecê-las por identificar problemas no sistema e procurar entender os riscos complexos que levam à segurança e incidentes, evitando uma simples análise de ‘culpar o usuário'”, diz Ellis.
Acrescenta Burton de Tessian: “A maioria das pessoas está trabalhando duro para fazer o que acredita ser melhor para o seu trabalho e para o negócio; as equipes de segurança devem operar com a crença de que seus colegas estão tentando o seu melhor e empatia com os problemas que seus colegas estão trabalhando para resolver. A comunicação proativa e sustentada por meio de check-ins de rotina, colaboração entre equipes e foco nos resultados pode ajudar no desenvolvimento da empatia e do respeito pelo trabalho uns dos outros.”
É uma via de mão dupla, diz Yogman, da Mimecast.
“A mensagem precisa começar no topo. E os funcionários precisam entender o papel que desempenham para manter a empresa segura”, diz. “Nosso treinamento, voltado para funcionários regulares e agora líderes da empresa, pode ajudar a criar uma cultura onde a reportagem se torne a norma.”
Melhore continuamente: aprenda com os erros
Incorporar aprendizados a partir de relatórios de erros é vital, diz Wrozek, da Optiv Security.
“Todo mundo comete erros, mas uma empresa nunca quer compor tentando encobri-lo”, diz ele. “Ao reportá-lo rapidamente, você dá segurança e TI e, dependendo do incidente, legal é uma oportunidade para minimizar o impacto. Em alguns casos, pode ser um evento reportável [regulação ou lei do setor], e deixar de tomar medidas oportunas ou relatar isso piora a situação para toda a empresa.”
Barker, da Cygenta, observa que a confiança é construída quando os funcionários veem que uma empresa identifica e aborda a causa raiz de um erro. Ela cita um exemplo de um usuário cujo erro os fez expor dados internamente. Em vez de pular no sintoma — uma pessoa que compartilhamento demais de dados — a empresa procurou encontrar a causa e mudou o processo que permitiu que esse compartilhamento excessivo acontecesse em primeiro lugar.
“A pessoa envolvida reconheceu que cometeu um erro e aprendeu com ele, mas o mais importante é que a organização aprendeu com isso”, diz ela. “Um processo quebrado foi identificado e corrigido, e as pessoas também aprenderam que podem e devem relatar incidentes sem medo.” É vital que isso seja liderado desde o início, daqueles que são mais influentes e aqueles que dirigem as prioridades de uma organização. O comportamento modelado pela liderança é o comportamento que outros em uma organização seguirão.”
FONTE: DARK READING