0
0
Uma vez que reconhecemos que um dos elos fracos da segurança cibernética somos nós, humanos, o próximo passo natural é reforçar essa vulnerabilidade, geralmente por meio de treinamento. Mas assistir a um vídeo ou clicar em um questionário ajuda você a saber o que fazer quando se deparar com uma ameaça à segurança em carne e osso? Provavelmente não. Então, logicamente, você tem que praticar com uma ameaça física para aprender a lidar com eles – mesmo quando se trata de um sujeito que sorri para você em uma camiseta pateta.
O Ministério da Defesa do Reino Unido (MOD), como a maioria das organizações preocupadas com questões de guerra e segurança nacional, está bem ciente da importância de uma força de trabalho experiente em segurança. As organizações afiliadas às forças armadas também têm uma forte hierarquia embutida que enfatiza a conformidade e dificulta que os trabalhadores contradigam a autoridade, às vezes conhecida como vulnerabilidade de falha em desafiar. A MOD precisava que sua força de trabalho pudesse se afirmar caso vissem um problema em potencial. Para esse fim, o ministério se uniu a especialistas externos para criar um programa que oferece às pessoas oportunidades de praticar o reconhecimento – e ainda mais importante, a resposta a – riscos de segurança física no que a equipe do UK MOD Cyber Awareness, Behaviors & Culture (CyAB & C) chama um exercício de “andarilho mal-intencionado”.
Essencialmente, alguém entra em um local de trabalho e perambula, tentando levar as pessoas a fazer coisas arriscadas, como emprestar um computador ou escanear uma chave USB.
“Baseado em uma teoria psicológica robusta entrelaçada com a prática de engenharia social, é uma maneira de gerenciar a vulnerabilidade humana em vez de apenas descobri-la”, escreveram os cientistas comportamentais Simon Pavitt e Stephen Dewsnip em sua apresentação Black Hat . “Ao tornar o mais óbvio possível que um desafio é necessário, ele aproveita as pistas sociais e as tensões psicológicas sentidas pelo indivíduo, deixando-o sem opção a não ser criar um desafio”.
Exercício deixa você mais forte
Em 2020, Pavitt, veterano do exército do Reino Unido e funcionário civil do MOD, solicitou propostas para contratados para “ajudar a melhorar a conscientização, os comportamentos e a cultura cibernéticos” na agência governamental. Uma consultoria chamada Atkins ganhou o contrato, que se tornou o projeto CyAB&C.
Os exercícios maliciosos do floorwalker do projeto envolveram uma pessoa vagando por um escritório tentando provocar os trabalhadores a desafiar sua conduta e presença. “
Muitas pessoas fizeram testes de tipo de penetração em que tentam não ser pegos fazendo algo arriscado – mas ainda não vimos mais nada em que as pessoas estão tentando ativamente ser pegas de uma maneira alegre e bem-humorada “, Dewsnip, consultor da Atkins co-apresentando no Black Hat, diz Dark Reading.
Longe de um exercício de mesa, o floorwalker malicioso é um esforço pessoal que visa deixar as pessoas mais confortáveis com a ideia e a prática de desafiar os comportamentos inseguros de outras pessoas.
“Estamos usando todas as técnicas de um engenheiro social e as coisas que um SE usaria para manipular as pessoas, mas estamos fazendo isso para o bem, não para o mal”, acrescenta Dewsnip. “O que fazemos não é um teste – é uma oportunidade de praticar um conjunto de comportamentos, em um espaço seguro, que raramente temos a oportunidade de praticar”.
Dewsnip tem o cuidado de apontar que ninguém falha neste exercício, pois o foco está em deixar os trabalhadores confortáveis com novas ações, não em avaliar seu estado atual de conhecimento de segurança. “Deixamos as pessoas com um sentimento positivo em relação ao desafio [comportamentos inseguros]”, diz ele.
E os dados confirmam essa afirmação. De acordo com questionários pós-exercício, 91% das pessoas que se envolveram diretamente com o andarilho disseram que agora desafiariam diretamente coisas que consideravam um risco.
‘O que você está fazendo agora?’
Embora treinar funcionários para melhorar suas práticas de segurança em um escritório de defesa seja um negócio sério, esse exercício leve gerou algumas interações hilárias. Por exemplo, depois de um exercício, Dewsnip diz que quando a equipe de caminhada saiu para almoçar, “nós fomos de repente incomodados daquele segundo andar com pessoas gritando coisas como: ‘O que você está fazendo agora?’ e, ‘Ainda podemos ver você!'”
Algumas pessoas, especialmente aquelas que já estavam confiantes em suas práticas de segurança, levaram as coisas mais a sério, acrescenta. “Tivemos uma política cibernética citada para nos impedir de seguir nosso caminho. Fomos levados a escritórios de segurança e outras pessoas entraram em contato com a equipe de segurança em segredo via MS Teams, enquanto nos mantinham ocupados para que não pudéssemos sair. “
Dewsnip ressalta que as reações engraçadas mostraram que o exercício estava funcionando.
“As pessoas estão se envolvendo com o andarilho”, diz ele. “Eles entendem que o andarilho está lá para ser desafiado e em um espaço seguro e, ao fazê-lo, eles estão … construindo o roteiro mental necessário para desafiar com sucesso e estão começando a se sentir confortáveis com isso, superando alguns ansiedades ou incertezas que existem com desafios no local de trabalho.”
Aprendendo lições ao redor
Quase todos que se envolveram com o andarilho se sentiram mais confiantes em desafiar o próximo visitante desonesto. Que outros benefícios este projeto semeou? Dewsnip diz que os gerentes dos sites que visitaram relatam que seus funcionários “desafiaram com sucesso outras pessoas em coisas que estavam fazendo que poderiam ser arriscadas – incluindo pessoas desafiando para cima”, o que significa que estão desafiando aqueles mais seniores do que eles, o que é um grande desafio. negociar em um ambiente militar.
O projeto enfatizou tornar o exercício divertido, dando às pessoas a chance de praticar sem medo e punição – daí o amável andarilho na foto acima, que se autodenominou “Ameaça Cibernética”. Essa atitude tranquilizadora se encaixa com a pressão em outros setores para criar uma cultura na qual as pessoas se sintam seguras o suficiente para admitir quando cometeram um erro.
“Com muita frequência, os profissionais de segurança e TI assumem que os funcionários sabem melhor ou que saberão como agir ou relatar comportamentos suspeitos”, disse Brian Wrozek, CISO da Optiv Security, ao Dark Reading no início deste ano. “As organizações podem institucionalizar uma cultura de segurança mais saudável realizando exercícios de mesa para garantir que os funcionários recebam prática prática para responder a diferentes cenários.”
Uma cultura de segurança como essa é especialmente importante em indústrias de vida ou morte, como medicina e aeronáutica – e defesa.
FONTE: DARK READING