Segurança cibernética é essencial. Eis alguns exemplos

Por Nadya Bartol - Do portal TED.com

Hoje vou falar sobre um assunto vergonhoso. Isso já aconteceu com muitos de nós e é constrangedor, mas se não falarmos sobre isso, nada vai mudar. É sobre ser hackeado. Alguns de nós clicaram em um link de phishing e baixaram um vírus de computador. Alguns de nós tiveram nossas identidades roubadas. E aqueles de nós que são desenvolvedores de software podem ter escrito um código inseguro com bugs de segurança sem perceber. Como especialista em segurança cibernética, trabalhei com inúmeras empresas para melhorar sua segurança cibernética.

Especialistas em segurança cibernética como eu aconselharam empresas sobre boas práticas de segurança cibernética, ferramentas de monitoramento e comportamentos adequados do usuário. Mas, na verdade, vejo um problema muito maior que nenhuma ferramenta pode resolver: a vergonha associada aos erros que cometemos.

Gostamos de pensar que somos competentes e experientes em tecnologia, e quando cometemos esses erros que podem ter um impacto muito ruim sobre nós e nossas empresas ¬— qualquer coisa, desde um simples aborrecimento a tomar muito tempo para consertar, a nos custar e nossos empregadores muito dinheiro. Apesar dos bilhões de dólares que as empresas gastam em segurança cibernética, profissionais como eu veem os mesmos problemas continuamente. Deixem-me dar alguns exemplos.

O hack de 2015 de utilitários ucranianos que desconectou a energia de 225.000 clientes e levou meses para restaurar as operações totais começou com um link de phishing. A propósito, 225.000 clientes são muito mais que 225.000 pessoas. Os clientes podem ser qualquer coisa, desde um prédio de apartamentos a uma instalação industrial e um shopping center. A violação de dados da Equifax em 2017, que expôs informações de identificação pessoal de 140 milhões de pessoas e pode custar à Equifax algo na ordem de 1,4 bilhão de dólares: isso foi causado pela exploração de uma vulnerabilidade conhecida no portal de reclamações do consumidor da empresa.

Fundamentalmente, trata-se de tecnologia e inovação. A inovação é boa; isso torna nossas vidas melhores. A maioria dos carros modernos que dirigimos hoje são basicamente computadores sobre rodas. Eles nos dizem aonde ir para evitar o tráfego, quando levá-los para manutenção e nos dão todos os tipos de conveniências modernas. Muitas pessoas usam dispositivos médicos conectados, como marca — passos e monitores de glicose com bombas de insulina. Esses dispositivos melhoram a vida dessas pessoas e, às vezes, até prolongam suas vidas. Mas tudo que pode ser interconectado pode ser hackeado quando conectado.

Você sabia que o ex-vice-presidente dos EUA, Dick Cheney manteve seu marcapasso desconectado do Wi-Fi antes de receber um transplante de coração? Vou deixar você descobrir por que.

Em um mundo digitalmente interconectado, os riscos cibernéticos estão literalmente em toda parte. Há anos, meus colegas e eu conversamos sobre essa noção fugidia de cultura de segurança cibernética. A cultura de segurança cibernética é quando todos na organização acreditam que a segurança cibernética é seu trabalho, sabem o que fazer e o que não fazer e fazem a coisa certa.

Infelizmente, não posso dizer quais empresas fazem isso bem, porque, ao fazê-lo, colocaria um alvo interessante em suas costas para invasores ambiciosos. Mas o que posso fazer é tornar a segurança cibernética menos misteriosa, trazê-la à tona e falar sobre ela. Não deve haver mistério ou segredo dentro de uma organização. Quando algo é invisível e está funcionando, não sabemos que está lá até que não esteja. +Mais ou menos como papel higiênico. Quando a pandemia COVID-19 começou, o que estava lá de repente se tornou superimportante porque não conseguimos encontrar em lugar nenhum.

A cibersegurança é exatamente assim: quando está funcionando, não prestamos atenção e não nos importamos. Mas quando não está funcionando, pode ser muito, muito ruim.

O papel higiênico é bastante simples. A cibersegurança é misteriosa e complexa. E eu realmente acho que começa com a noção de segurança psicológica. Essa noção foi popularizada por uma cientista do comportamento organizacional, Amy Edmondson. Amy estudou o comportamento de equipes médicas em situações de risco, como hospitais, onde erros podem ser fatais.

E ela descobriu que as enfermeiras não se sentiam confortáveis trazendo sugestões aos médicos por causa do medo de questionar a autoridade. Amy ajudou a melhorar as equipes médicas para deixar os enfermeiros mais confortáveis ao apresentar sugestões aos médicos para o tratamento do paciente, sem medo de ser repreendido ou rebaixado. Para que isso acontecesse, os médicos precisavam ouvir e ser receptivos — sem julgar. Segurança psicológica é quando todos se sentem confortáveis em falar e apontar coisas.

Quero que a cibersegurança seja a mesma. E quero que os profissionais da segurança cibernética se sintam à vontade para apresentar sugestões a executivos seniores ou desenvolvedores de software, sem serem considerados pessoas que continuam a falar sobre horrores e erros e a dizer não. Não fazer isso é realmente difícil para os indivíduos responsáveis pela criação de produtos digitais porque, fundamentalmente, trata-se de seu orgulho e alegria em suas criações.

Certa vez, tentei conversar com um executivo sênior de desenvolvimento de software sobre a necessidade de melhorar a segurança. Você sabe o que ele disse? "Você está me dizendo que estamos desenvolvendo um código inseguro?” Em outras palavras, o que ele ouviu foi: "Seu bebê é feio".

E se, em vez de nos concentrarmos no que não fazer, nos concentrássemos no que fazer? Tipo, como desenvolvemos um software melhor e protegemos as informações de nossos clientes ao mesmo tempo? Ou como podemos ter certeza de que nossa organização é capaz de operar em crise, sob ataque ou em uma emergência?

E se recompensarmos as coisas boas que as pessoas fazem em segurança cibernética de alguma forma e as encorajarmos a fazer isso, como relatar incidentes de segurança, relatando e-mails de phishing em potencial ou encontrando e corrigindo bugs de segurança de software no software que desenvolveram? E se vinculássemos essas boas ações de segurança às avaliações de desempenho para torná-las realmente importantes?

Eu adoraria que comunicássemos essas boas coisas sobre segurança cibernética e as encorajássemos em algum tipo de comunicação em toda a empresa, como boletins informativos, blogs, sites, microsites — tudo o que usarmos para nos comunicarmos com nossa organização. E se uma empresa anunciasse uma competição para encontrar quem encontra mais bugs de segurança e os corrigisse em um sprint de desenvolvimento de duas semanas e, em seguida, anunciasse o vencedor da competição para o trimestre na prefeitura virtual de uma grande empresa e, em seguida, recompensasse essas pessoas, essas vencedores, com algo significativo, como uma semana de férias ou um bônus. Outros verão a celebração e o reconhecimento e farão o mesmo.

No setor de energia, existe uma cultura de segurança muito forte. As pessoas se preocupam com essa cultura, têm orgulho dela e há um reforço coletivo dessa cultura para garantir que ninguém se machuque.
Uma das maneiras de exibir e manter essa cultura de preocupação com a segurança em andamento é contando e exibindo visivelmente os dias desde o último incidente de segurança. E então todo mundo trabalha muito para que a contagem não volte a zero, porque isso significa que alguém se machucou. Segurança cibernética é o mesmo que segurança.

E se todos concordarmos em manter essa contagem de dias desde o último incidente de segurança cibernética para sempre e depois trabalharmos muito para não zerar?

E então certas coisas são proibidas, e precisamos comunicar claramente às nossas organizações o que elas são de uma maneira fácil de digerir e talvez até divertida, como gamificação ou simulações, para garantir que as pessoas possam se lembrar disso. E se alguém fizer algo que não deveria fazer, deve enfrentar algum tipo de consequências.

Portanto, por exemplo, se um funcionário comprar equipamentos na Amazon ou no eBay ou usar o Dropbox pessoal para os negócios de sua empresa, ele deverá enfrentar alguns tipos de consequências.

E quando isso acontecer, os executivos devem receber o mesmo tratamento que os funcionários regulares, porque se não o fizerem, as pessoas não vão acreditar que é real e voltarão aos seus antigos comportamentos. É normal falar sobre erros, mas assim como um adolescente que viola as regras nos fala sobre isso, agradecemos que eles nos contaram sobre isso, mas ainda deve haver algum tipo de consequência.

A cibersegurança é uma jornada. Não é um destino e precisamos continuar trabalhando nisso. Eu adoraria que celebrássemos as pessoas da segurança cibernética como os heróis que são. Se pensarmos bem, eles são bombeiros, médicos e enfermeiras do pronto-socorro, policiais, executivos de risco e estrategistas de negócios, todos na mesma pessoa.

E eles nos ajudam a proteger nossa vida moderna de que tanto gostamos. Eles protegem nossas identidades, nossas invenções, nossa propriedade intelectual, nossa rede elétrica, dispositivos médicos, carros conectados e uma miríade de outras coisas. E eu gostaria de estar nessa equipe. Então, vamos concordar que essa coisa está conosco para ficar, vamos criar um ambiente seguro para aprender com nossos erros e nos comprometer a melhorar as coisas.

https://www.ted.com/talks/nadya_bartol_better_cybersecurity_starts_with_honesty_and_accountability/up-next?utm_source=newsletter_daily&utm_campaign=daily&utm_medium=email&utm_content=image__2021-05-17

 

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton