Analysis

“Muitas vezes, não é sobre ‘hackear’ o sistema; é sobre ‘hackear’ o cérebro” das pessoas

Proteger os colaboradores de uma organização é essencial para uma defesa eficaz, mas nem sempre é fácil aumentar o awareness daquela que pode ser a primeira linha de defesa

Por Rui Damião . 18/11/2022

“Muitas vezes, não é sobre ‘hackear’ o sistema; é sobre ‘hackear’ o cérebro” das pessoas

Vamos ser honestos: por esta altura, já todos estão fartos de ouvir que ‘as pessoas são o elo mais fraco de uma organização’. A expressão não é exatamente mentira, mas é preciso dar conhecimento aos colaboradores para que estes saibam os riscos a que estão expostos ao navegar no ciberespaço.

As formações são um ponto de partida para partilhar o conhecimento necessário, mas nem sempre são a forma mais eficaz. Como tal, a questão que se coloca é como melhorar as formações para que os colaboradores tenham o conhecimento necessário para estarem tão seguros quanto possível.

A resposta pode passar pelas ciências comportamentais e é essa a abordagem da SoSafe, uma start-up alemã que esteve presente na edição de 2022 da Web Summit através do seu CEO Niklas Hellemann.

A psicologia na defesa da organização

 

“Percebemos que há muitas coisas que podemos tirar das ciências comportamentais e da psicologia que estão disponíveis há muitos anos e que já conhecemos para verdadeiramente ajudar as pessoas de forma positiva para desenvolver as suas competências de defesa”

Atualmente, a SoSafe tem dois milhões de end users e mais de 2.500 empresas a utilizar a sua plataforma. Estas empresas fazem parte de uma variedade de verticais e a abordagem da SoSafe é enviar pequenas aprendizagens gamificadas, assim como levar a cabo simulações de ataque e fornecer uma infraestrutura de reporte simplificada para tornar as pessoas numa linha de defesa dentro da organização. Sem especificar o número ou o nome, Niklas Hellemann afirma que já têm clientes em Portugal.

Hellemann relembra que existem dois lados na cibersegurança: o que ataca e o que defende. “Como bem sabemos, os atacantes utilizam há muitos anos – mesmo há 20 ou 30 anos – a psicologia para manipular as pessoas e para algo que costumo dizer que é como ‘hackear’ o cérebro”, afirma o CEO da SoSafe, psicólogo de formação.

Muitas vezes não é sobre ‘hackear’ o sistema; é ‘hackear’ o cérebro” dos visados e foi com essa ideia que nasceu a SoSafe. “Percebemos que há muitas coisas que podemos tirar das ciências comportamentais e da psicologia que estão disponíveis há muitos anos e que já conhecemos para verdadeiramente ajudar as pessoas de forma positiva para desenvolver as suas competências de defesa”, explica Hellemann.

O CEO refere que, há dez anos, o que se fazia era pouco mais do que “aqui está a política, lê, assina” e pouco mais se fazia em termos de awareness de cibersegurança; “aparentemente, isso não ajuda as pessoas a mudar o seu comportamento”.

 


“Há um fator constante [nas organizações] que são as pessoas. ‘Hackear’ o cérebro das pessoas é muito parecido porque agimos de forma muito semelhante”


 

Para mudar esta realidade, é preciso perceber a forma como as pessoas gostam de aprender. “É preciso compreender que poucos colaboradores chegam a uma segunda-feira de manhã e dizem que vão ler a política de segurança ou ler o memorando que chega do CISO, mesmo que sejam afetados pelo problema”, refere Niklas Hellemann.

A abordagem da SoSafe passa por transmitir o conhecimento em pequenos pedaços e de forma mais interativa para que os colaboradores gostem de aprender o que é relevante para si.

O CEO da SoSafe dá como exemplo as simulações de phishing: “faz-se, por exemplo, um teste de phishing uma vez por ano e o colaborador cai. Se cair uma segunda vez, o manager é envolvido, o que implica algum medo. A nossa plataforma fá-lo de forma contínua e adaptativa, fornecendo experiência de conhecimento depois de [o colaborador] cair no ataque de phishing”.

Através da SoSafe, se o colaborador cair no ataque de phishing, é-lhe explicado através desse email o que deve ter em conta no futuro. “Ao aprender dessa forma”, explica Niklas Hellemann, “podemos mostrar os click rates a diminuírem ou as taxas de comunicação de incidentes a subir”.

Nos “tempos antigos”, o KPI do conhecimento em cibersegurança dos colaboradores era uma checkbox de que tinham visto o vídeo ou que tinham lido a política de segurança. Mas, agora, estamos na segunda geração e “estamos focados em estatísticas comportamentais”.

“A curiosidade é o mais poderoso driver, assim como os incentivos financeiros e o altruísmo, como um pedido de ajuda de um colega que motiva as pessoas a carregar em emails de phishing”

 

‘Hack’ the brain

Niklas Hellemann utiliza a expressão “‘hack’ the brain” para falar do atual panorama de ciberataques. Com os cibergrupos “super profissionalizados” e a “agir como empresas”, o objetivo é serem “eficientes”. “Se olharem para cem empresas que podem atacar, têm vários sistemas e várias infraestruturas. É muito complicado e cada empresa, provavelmente, precisa de uma abordagem de ataque diferente”, refere.

Mas há um fator constante que são as pessoas. ‘Hackear’ o cérebro das pessoas é muito parecido porque agimos de forma muito semelhante”, explica o CEO. Segundo um relatório da SoSafe, que analisa que táticas psicológicas têm maior sucesso no ataque a uma organização, o medo, a curiosidade e incentivos financeiros são as melhores formas para ter sucesso num ataque de phishing.

A curiosidade é o mais poderoso driver nas empresas, assim como os incentivos financeiros e o altruísmo, como um pedido de ajuda de um colega que motiva as pessoas a carregar em emails de phishing”, assevera.

Mas cada empresa é única e é necessário encontrar uma estratégia eficiente para cada uma delas. Para Niklas Hellemann, a eficiência é, de facto, um tópico importante e tudo começa internamente com a comunicação.

É preciso envolver a gestão de topo. Este tópico é muito importante porque aumentar o awareness ou o sentimento de urgência é também muito importante. Mas também – e não digo isto por ser um vendor – é preciso depender de um vendor com uma plataforma de awareness de segurança porque é muito mais eficiente correr um programa de awareness baseado nas melhores práticas e de forma automatizada”, conclui Hellemann.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.