Você já esteve na popular plataforma de mídia social Reddit? Se sim, é provável que você tenha encontrado a comunidade (ou subreddit, como são chamados na plataforma) r/explainlikeimfive.
A ideia por trás desta comunidade é simples: as pessoas que desejam aprender algo que têm dificuldade de entender ou sobre o qual nunca leram fazem uma postagem pedindo à comunidade que ELI5 ou explique [a eles] “como se eu tivesse cinco anos”. Aqueles que sabem, ou pensam que sabem as respostas, respondem com explicações que são suficientemente simples para uma criança de cinco anos compreender.
Geralmente. Algumas pessoas parecem ter conhecido crianças que sabem mais sobre física quântica e computação do que a maioria dos adultos que você conhece.
Brincadeiras à parte, a linguagem simples e as explicações partilhadas nessa comunidade ajudam os leigos a obter uma compreensão básica sobre tudo o que existe sob o sol: computação quântica, neurociência, porque é que os mariscos são populares na Ásia Oriental e muito mais.
Autores e palestrantes da ciência pop também fazem algo semelhante em seus livros e programas. Eles simplificam conceitos científicos (em vários graus) e os colocam em uma linguagem que a maioria das pessoas e até mesmo as crianças podem entender.
Como isso se relaciona com a discussão sobre pessoas e segurança, você pergunta?
Você diz “MITRE ATT&CK”, eles dizem “???”
Conforme discutido na primeira parte deste artigo, as melhores práticas e políticas de segurança não servem para nada se o seu pessoal não estiver ciente delas — ou não as compreender.
Em muitas empresas, o treinamento de conscientização em segurança é frequentemente visto como uma caixa de seleção a ser marcada antes da próxima auditoria de conformidade. Isso não quer dizer que as pessoas que conduzem o treinamento não levem a sério a educação de seus colegas. Eles levam. No entanto, os seus colegas nem sempre compreendem a importância da formação ou como as políticas de segurança se aplicam às suas funções.
Muitas vezes, os usuários podem não entender quais de suas ações podem, direta ou indiretamente, colocar a organização em risco. Além disso, a natureza genérica da maioria dos treinamentos deixa-os com uma vaga compreensão da importância das práticas de segurança, mas sem uma orientação clara sobre o que exatamente devem ser cuidadosos ou evitados.
Outro problema é que os membros da equipe de segurança podem não ser os melhores na comunicação de práticas em uma linguagem que o funcionário médio entenda. Como resultado, quando você participa de uma sessão sobre detecção de ataques de phishing, por exemplo, muitas vezes você achará isso… um pouco pesado, para dizer o mínimo.
Algumas etapas são fáceis de lembrar e seguir. Outros podem simplesmente deixar pessoas que não são da área de tecnologia coçando a cabeça ou ficar entediantes demais para praticar regularmente. Siga o conselho aparentemente comum de verificar o endereço de email do remetente para ver se é de um domínio legítimo. Quando você tem mais de cem e-mails em sua caixa de entrada, não há como reservar tempo para fazer isso.
As equipes de segurança não podem esperar que seus colegas tenham tempo para verificar se o “L” minúsculo em um endereço de email é na verdade um “I” maiúsculo. E mesmo que verifiquem, talvez não consigam detectar um problema. Por exemplo: “FirewaIl” aqui usa as duas letras mencionadas acima, mas você não saberia dizer a menos que aparecesse em uma fonte Serif ou se você estivesse realmente procurando por ela.
Além do mais, seus colegas não técnicos também podem não conseguir se lembrar de nenhuma das outras etapas por mais de algumas semanas após o treinamento. Se eles não entenderem como seguir uma prática recomendada (porque é muito técnica) ou não souberem por que ela é importante, eles irão ignorá-la ou esquecê-la.
Depois, há o fato de que esses treinamentos são normalmente uma atividade anual, na melhor das hipóteses.
É difícil para alguém lembrar de coisas que não são relevantes para sua vida diária, especialmente se esse conhecimento não for atualizado regularmente. Isto é especialmente verdadeiro para tópicos aparentemente complexos como segurança.
Como Joshua Crumbaugh, CTO da PhishFirewall, disse em seu videocast com a ManageEngine : “Se quisermos que nosso pessoal não se sinta intimidado pela [segurança] cibernética e a leve a sério, precisamos torná-la menos intimidante, e isso significa educação simplificada, contínua e divertida.”
A pesquisa mostra que o humor pode ajudar as pessoas a reter melhor os fatos e as informações. Sejam notícias ou cursos “secos” como estatísticas, o humor relacionado ao conteúdo ajuda as pessoas a reter melhor as informações. E se as estatísticas podem ser tornadas engraçadas e fáceis de lembrar, por que não a segurança?
Talvez seja hora de as equipes de segurança e conformidade adicionaram em suas sessões de treinamento algum humor (relacionado à segurança). Para isso, eles podem atrair pessoas de comunicação interna ou de aprendizagem e desenvolvimento.
Eles também devem procurar maneiras de ajudar as pessoas a atualizarem seus conhecimentos regularmente. Várias sessões de treinamento em um ano podem ser muito tediosas. Jogos, questionários ou outras atividades podem oferecer maneiras divertidas de manter as dicas de segurança sempre frescas na mente das pessoas.
Como diz o ditado, o trabalho em equipe faz o sonho funcionar. Nesse caso, também poderia ajudar a reduzir pelo menos um pouco o trabalho do pessoal de segurança no longo prazo.
A esperança é que, se o seu pessoal retiver melhor as dicas de segurança, eles estarão mais conscientes e menos propensos a cair em ataques cibernéticos comuns ou a causar incidentes.
Personalização no treinamento em segurança cibernética
Outra coisa a considerar é personalizar o treinamento ou dicas para várias pessoas ou funções. De acordo com um artigo da NBC, alguns neurocientistas acreditam que conectar coisas a partes da sua vida diária ou a outras coisas que você já conhece, torna-as mais fáceis de lembrar.
Assim, o treinamento personalizado pode ajudar os funcionários a entender melhor as dicas de segurança. Isso pode ser entediante de montar no início. No entanto, poderia ajudar a mudar as políticas de segurança de um conjunto abstrato de regras para um conjunto concreto de coisas que devemos e não devemos fazer e que são mais fáceis de seguir.
Outra maneira de personalizar o treinamento é aproveitar a IA para projetar socialmente seu pessoal e tornar a organização mais segura. Como diz Joshua: “Se a engenharia social é o maior problema, então a engenharia social também é a resposta”.
As organizações podem atingir os seus próprios funcionários com “campanhas de phishing” adaptadas às suas ações e interesses. A ideia por trás disso é condicionar as pessoas a não clicarem em emails e links arriscados. O conceito é simples: se você continuar fazendo alguém cair no mesmo truque repetidamente, com o tempo essa pessoa poderá começar a evitá-lo.
É claro que fazer isso manualmente é uma tarefa gigantesca e o objetivo é reduzir o trabalho da equipe de segurança. É aí que entra a IA. As soluções baseadas nela podem processar grandes quantidades de dados com facilidade, permitindo-lhes personalizar facilmente campanhas de phishing de acordo com os interesses de cada funcionário.
Os hackers já estão usando IA para fins semelhantes e obtendo resultados. De acordo com o relatório Sloan do MIT citado no artigo acima, e-mails de phishing gerados por IA usando informações pessoais obtiveram taxas de abertura de até 60%. Portanto, só faz sentido que os mocinhos também adquiram ferramentas baseadas em IA.
Como lidar com os walk-ins e infiltração interna?
Apesar do que as notícias querem fazer acreditar, a maioria das pessoas ainda está disposta a ajudar os outros – pelo menos em situações diárias de baixo risco, como segurar a porta para aquele “colega” cujas mãos estão ocupadas com cafés ou arquivos.
O único recurso aqui é garantir que suas sessões de conscientização também cubram essas ameaças. É claro que as pessoas podem não gostar de ser más e de não ajudar um colega. Portanto, mostre a eles uma maneira mais segura de ajudar, como oferecer-se para guardar o café ou os arquivos para que possam passar o cartão livremente. E se “esqueceram” o cartão, isso é um problema para a recepção ou para a administração, não é? Demora um pouco mais, mas evita que profissionais inteligentes de engenharia social entrem em suas instalações.
Com alguma sorte, as etapas descritas neste artigo poderão transformar seu pessoal, o elo mais fraco em seu perímetro, em sua primeira linha de defesa, permitindo que sua equipe de segurança faça uma pausa – até que a próxima vulnerabilidade crítica de zero day venha à tona.
Artigo original: People and security, Part 2: The ELI5 approach—or, can simplifying training get you better results?
