Riscos Cibernéticos Emergentes – Parte 1: A Dimensão do Risco de Pessoas

Embora a segurança cibernética não seja nova nem emergente (como categoria de risco único), sua importância cresce exponencialmente e a forma como os riscos de segurança cibernética podem impactar as organizações está evoluindo. A crescente interação entre a nossa vida social e profissional como resultado de uma maior dependência da tecnologia de informação e comunicação (ITC) para desempenhar funções de trabalho significa que as organizações devem estar cada vez mais atentas a toda uma série de desafios de risco fora dos limites técnicos da garantia dos atributos de informação, o domínio tradicional da segurança cibernética.

Apesar de muitas vezes essa tecnologia seja utilizada para fins sociais, é inevitável que algo que as pessoas estão tão habituadas a utilizar e a interagir se repercuta no local de trabalho. Nesse sentido, soluções duradouras requerem uma abordagem mais orientada para o ser humano. Ou seja, é imprescindível que as organizações desenvolvam culturas eficazes de segurança cibernética. A dependência excessiva da tecnologia e a falta de compreensão dos aspectos humanos da segurança cibernética são uma das principais razões para violações e vulnerabilidades de informações.

Por exemplo: o problema frequente de um funcionário enviar informações confidenciais por e-mail para destinatários não intencionais é um incidente clássico que pode ter um impacto de longo prazo na reputação de uma empresa (e, potencialmente, também colocá-la na linha de fogo do regulador de proteção de dados) e é extremamente difícil de se prevenir apenas com tecnologia. Se um indivíduo estiver muito familiarizado com o uso de ITC na sua vida social, mas não tiver recebido qualquer educação ou formação sobre as implicações da utilização, retenção ou distribuição de dados no local de trabalho, podemos ver como é fácil causar acidentalmente uma grande violação.

A Dimensão do Risco de Pessoas no Risco Cibernético

Um importante fator de risco emergente que as organizações terão de considerar nos próximos anos é a mudança na relação que as pessoas tendo com a tecnologia. Esta relação também está se tornando cada vez mais complexa, e a vida humana, as atitudes sociais, a ética e a cultura estão ao mesmo tempo moldando e sendo moldadas pela tecnologia.

Neste contexto, muito se tem falado sobre o surgimento dos chamados “nativos digitais”, indivíduos que só conheceram um mundo com a presença da Internet. O termo foi cunhado pelo educador e pesquisador norte-americano Marc Prensky em 2001, que afirmou que a estrutura fisiológica do cérebro e os padrões de cognição dos nativos digitais (aqueles nascidos após 1990 e normalmente os irmãos mais novos e/ou filhos da “geração X”) difere fundamentalmente daquela das gerações anteriores. Ultimamente, o termo “millennial” tem ganho cada vez mais aceitação, mas refere-se essencialmente à mesma geração.

Embora alguns possam contestar a validade das categorizações e comparações geracionais, a investigação sobre os nativos digitais destaca as influências por vezes surpreendentes que a tecnologia pode ter nas pessoas, e vice-versa. Existem cada vez mais provas que mostram que a tecnologia digital, especialmente no mundo social (através das redes sociais, mensagens e tecnologias “sempre ligadas”, como os dispositivos móveis), está influenciando as normas comportamentais tanto na sociedade como no local de trabalho. Portanto, é importante que as organizações estejam cientes de que seus colaboradores podem mudar seu comportamento em decorrência do engajamento tecnológico, criando uma série de novos riscos.

Um exemplo simples de como os comportamentos (e os riscos de segurança cibernética) estão mudando foi um caso no Canadá, onde um funcionário público chamado Franklin Andrews foi demitido devido a passar mais de metade do seu dia de trabalho navegando na Internet em diversos websites aleatórios. Posteriormente, porém, ele foi reintegrado quando não foi possível demonstrar que seu trabalho não estava sendo executado de forma satisfatória devido a esse acesso “inadequado” (ver link para a reportagem aqui).

Cada vez mais a segurança cibernética deve considerar uma gama maior de questões que estão fora do domínio tradicional da proteção de ativos tecnológicos e informações. Com o advento das tecnologias habilitadas para a Internet no local de trabalho, são as próprias organizações que fornecem os meios para permitir que tais práticas aconteçam. As questões de aceitabilidade social versus o que o empregador pode considerar inaceitável e se isso foi articulado claramente ao funcionário tornam-se cada vez mais relevantes.

Riscos Cibernéticos Emergentes

Apesar de existirem inúmeras maneiras de se categorizar os riscos de segurança cibernética, o Hexagrama Parkeriano - proposto por Donn B. Parker em 1998 como uma ampliação da conhecida tríade de Confidencialidade, Integridade e Disponibilidade (Confidentiality, Integrity, Availability - CIA) - é hoje um dos métodos mais utilizados para se definir os principais atributos de segurança da informação:

A partir disso, Parker identificou uma lista de eventos de risco relacionados à perda de informação, cada um vinculado a um par dos seis atributos acima. A Tabela 1 abaixo resume esses eventos:

No entanto, à luz da crescente natureza humana/social do risco de segurança cibernética, entendo que pelo menos três categorias adicionais de risco deveriam ser consideradas ao explorar eventos de riscos emergentes de segurança cibernética, todas elas abrangidas pelos amplos atributos de informação de Autenticidade, Confidencialidade e Posse:

1. Reputação

Devido à natureza pública das redes sociais e ao potencial de partilha anônima de informações, hoje em dia é muito provável que eventos de perda/vazamento de informação se tornem públicos — por exemplo, através de um funcionário que decida divulgar informações. Além disso, as redes sociais e as tecnologias móveis proporcionam um fórum para a rápida disseminação de rumores, opiniões, reclamações, etc., tanto por parte dos funcionários como de outros grupos (como os clientes). Mesmo que não sejam verdadeiras, estas manifestações podem prejudicar gravemente a reputação de uma organização, especialmente quando há mais fé na autenticidade das redes sociais do que em quaisquer declarações compensatórias fornecidas pela própria organização.

2. Jurídico

Os funcionários, especialmente os mais jovens, são mais propensos a cometer violações de direitos autorais ou de proteção de dados (por exemplo, armazenar downloads ilegais em dispositivos de trabalho, como celulares ou laptops). Os empregadores também podem enfrentar problemas jurídicos em torno da privacidade dos colaboradores, por exemplo, através do monitoramento não revelado da utilização da Internet nas suas atividades nas redes sociais. Esses eventos criam potenciais responsabilidades legais para as organizações, especialmente quando são aparentes deficiências na gestão da segurança da informação e/ou nas práticas de Recursos Humanos.

3. Recursos Humanos

As redes sociais fornecem um novo mecanismo para intimidação e assédio no local de trabalho. Podem também, através do potencial de anonimato, aumentar ainda mais a sua probabilidade. Tal como acontece com qualquer bullying ou assédio, isto pode ter um efeito psicológico nos funcionários e prejudicar a saúde e o bem-estar. Aqui também se incluem os riscos de recrutamento quando, por exemplo, as redes sociais podem ser utilizadas incorretamente para pré-julgar potenciais candidatos, e o caso de funcionários que passam demasiado tempo na utilização pessoal da Internet e das redes sociais.

A Tabela 2 abaixo mostra essas novas categorias de risco associados à riscos cibernéticos juntamente com exemplos de eventos de risco emergentes:

Os eventos de risco apontados na tabela acima ilustram que a segurança cibernética no século XXI enfrenta alguns desafios ainda não totalmente conhecidos de natureza humana, jurídica e de reputação. Para gerir estes desafios, os profissionais de segurança da informação terão de se aproximar dos seus colegas de Recursos Humanos, Jurídico e de Marketing/Relações Públicas. Em particular, é provável que estas funções precisem reunir os seus conhecimentos para ajudar a desenvolver uma resposta coordenada e interdisciplinar a esses eventos emergentes de risco de segurança cibernética.

Os dias em que os profissionais de segurança cibernética estavam limitados a soluções puramente técnicas acabaram. E, como em qualquer outro ramo da gestão de riscos, eles devem reconhecer a importância do risco de pessoas e gerir os riscos de segurança cibernética da sua organização em conformidade.