A questão ignorada pela cibersegurança: desempenho humano

Hoje, os líderes de todas as unidades de negócios devem ser capazes de responder a uma pergunta crucial: quão seguros estamos? Esta série examina como os gestores podem construir a resiliência tecnológica para competir na nova economia digital, na qual as empresas precisam se proteger não apenas de ataques cibernéticos, mas também da obsolescência técnica e pontos fracos digitais dentro de sua infraestrutura e equipes.

Um funcionário da Maersk, o maior conglomerado de transporte marítimo do mundo, viu as telas de computador de repente ficarem pretas e irreversivelmente bloqueadas no final de junho de 2017. Um vírus altamente sofisticado explorou os computadores da empresa na Ucrânia sem os recursos de segurança mais recentes do Microsoft Windows. Com essa pequena brecha, o vírus invadiu os sistemas da empresa e bloqueou o acesso a todos os computadores e servidores em todo o mundo, parando as operações de transporte por vários dias. O incidente custou à Maersk mais de US$ 200 milhões em receitas perdidas, causou custos não quantificados em produtos degradados e esforços de recuperação, e gerou uma série de clientes insatisfeitos.

A história de Maersk não é incomum. Em 2015, 80 milhões de registros de clientes foram roubados do Anthem porque um funcionário desavisado respondeu a um e-mail de phishing. Em 2017, o Serviço Nacional de Saúde do Reino Unido sofreu um ataque de ransomware que resultou em 19.000 consultas canceladas devido ao uso, mais uma vez, de uma versão desatualizada e não reparada do Microsoft Windows. Em 2019, dados de 106 milhões de clientes da Capital One foram roubados através de um firewall de Serviços Web da Amazon desconfigurado. E a lista continua.

Com a segurança cibernética no topo da agenda corporativa, ser vítima de uma violação catastrófica é o temido cenário de pesadelo. Em meio à crise do covid-19 e a um aumento repentino nos arranjos de trabalho remoto, o cibercrime aumentou. Os conselhos estão procurando os CEOs para evitar incidentes cibernéticos — mas como?

"Tecnologia mais avançada" é uma resposta comum, mas mesmo isso não teria evitado o incidente da Maersk, onde um pequeno descuido humano – não instalar uma atualização de software – levou a consequências catastróficas. A tecnologia é claramente o foco do investimento do setor e esses gastos devem ser de US$ 133 bilhões por ano até 2022. Mas, embora a escolha da tecnologia certa seja essencial, a maioria dos incidentes se relaciona com lacunas no desempenho humano, um problema persistente e muitas vezes negligenciado de cibersegurança na maioria das organizações.

Sem se abordar essa questão do desempenho humano, um ciclo vicioso se instala. (Veja "Um ciclo liderado por tecnologia leva ao aumento de incidentes de cibersegurança.") À medida que as empresas trazem a bordo novas tecnologias — cada uma potencialmente enfrentando uma ameaça emergente — elas também adicionam mais pessoas e processos correspondentes. À medida que isso continua, as interações entre tecnologia, processos e pessoas se multiplicam, e o nível de complexidade aumenta geometricamente. Em algum momento, essa complexidade sobrecarrega a infraestrutura de cibersegurança e obscurece ameaças emergentes — até que, sobrecarregada pelas próprias ações, a empresa se encontra menos ágil do que os cibercriminosos, e um ataque ocorre. Em resposta, o negócio busca a solução tecnológica para essa ameaça específica, e o ciclo se repete.

Um ciclo guiado pela tecnologia leva ao aumento de incidentes de cibersegurança

Adicionar processos e tecnologias não integrados entre si pode criar uma carga esmagadora de complexidade e diminuir a eficácia da segurança cibernética.

Introduza a operação de cibersegurança de alta confiabilidade

Fechar a lacuna de desempenho humano — incorporando novos comportamentos e compreensão compartilhada como parte da cultura e do curso normal dos negócios — não é uma pequena empreitada, mas é, em última análise, a melhor defesa contra ataques cibernéticos. E, felizmente, existe um recurso analógico para abordar esse tipo de risco e alavancar o desempenho humano como uma camada crítica de defesa: a organização de alta confiabilidade (high reliability organization, ou HRO), que definimos como uma organização que atravessa um número notavelmente baixo de percalços consistentemente durante um período sustentado de tempo, mas realiza tarefas altamente complexas e inerentemente perigosas.

O conceito HRO surgiu de práticas que se originaram há mais de 60 anos com o Programa de Propulsão Nuclear Naval dos Estados Unidos, que reconheceu que eram necessárias práticas organizacionais específicas para colocar um reator nuclear altamente complexo em um submarino, sob o oceano, e operá-lo com segurança com uma tripulação de jovens marinheiros. Isso significava evitar a cultura militar tradicional que existia há séculos: seguir ordens, fazer o que lhe mandam e não fazer perguntas. Após a perda do ônibus espacial Columbia pela NASA, o Conselho de Investigação de Acidentes de Columbia olhou para a marinha nuclear dos Estados Unidos como o modelo mais adequado para uma organização de alta confiabilidade. As ideias de HRO mais tarde ganharam destaque como parte da resposta da indústria de energia à crescente complexidade e catástrofes, como o desastre do Deepwater Horizon e, em seguida, se espalharam para os campos de saúde, manufatura e agora segurança cibernética.

Os HROs são diferentes dos não-HROs de três maneiras específicas:

• Atenção plena. Os HROs exibem desconforto crônico — um estado de hipervigilância e atenção para sinais iniciais de perigo.
• Responsividade. Os HROs identificam problemas emergentes precocemente e respondem com rapidez para impedir seu crescimento.
• Capacidade de aprendizagem. Os HROs aprendem com cada evento e rapidamente disseminam conhecimento para melhorar rapidamente o sistema. (Na marinha nuclear dos EUA, isso significa que cada submarino que vai para o mar equivale às lições cumulativas de mais de 6.200 anos de operações de usinas de reatores.)

Essas características de um HRO têm sido bem estudadas e bem caracterizadas na academia, mas menos bem compreendidos são os pilares do programa — os pilares operacionais individuais que, quando são adotados, resultam coletivamente no desempenho superior de um HRO. Esses pilares são formalidade, nível de conhecimento, integridade, atitude de questionamento e backup ativo da equipe. Nossa pesquisa foi dedicada a eles para desenvolver um mecanismo capaz de medir o alinhamento de uma empresa com características de HRO.

As operações de cibersegurança de alta confiabilidade (HRCOs) empregam esses mesmos pilares HRO para fechar a lacuna de desempenho humano e adicionar uma instância fundamental de segurança. Ficaram no passado os dias em que a segurança dos sistemas era responsabilidade exclusiva do departamento de TI — agora ela é assunto de todos. A tabela "Pilares HRO e sua aplicação em cibersegurança" descreve ainda cada pilar HRO e como ele pode ser aplicado em HRCOs.

Pilares HRO e sua aplicação em cibersegurança

A aplicação dos cinco pilares das organizações de alta confiabilidade pode ajudar uma organização a se tornar uma operação de segurança cibernética de alta confiabilidade.

Vamos observar como é um HRCO na prática. Todos em um HRCO têm um alto nível de conhecimento. Eles entendem como as senhas podem ser comprometidas facilmente e os riscos de acesso não autorizado; porque eles reconhecem que a segurança dos sistemas é trabalho de todos, eles leem e levam a sério os avisos que o departamento de cibersegurança envia periodicamente. Há um nível de formalidade na maneira como os processos de segurança são gerenciados — um protocolo claro para gerenciar contas e informações privilegiadas, que só funciona quando aliada à integridade, à disposição de operar dentro dos protocolos de segurança, mesmo que seja inconveniente de um ponto de vista pessoal. Essa formalidade também destaca quando algo está fora do lugar ou fora do comum, permitindo uma atitude de questionamento que impede os funcionários de clicar em um e-mail ou URL que aparente ser um ataque de phishing. Finalmente, as pessoas em um HRCO sempre apoiam umas às outras — backup ativo da equipe — então, ao configurar novos acessos a firewall, os membros da equipe cruzam e testam as atualizações, não por desconfiança, mas para garantir que tudo está de acordo com as normas.

Esses pilares podem ser realizados por cada indivíduo na organização e, portanto, servem de base para ajudá-la a se transformar em um HRCO. Embora as culturas sejam frequentemente descritas em termos agregados ou descritivos, impactar comportamentos individuais é a única maneira de realmente modificar uma cultura.

O primeiro passo é desenvolver uma compreensão básica de como os indivíduos veem a cultura ao seu redor e o que eles consideram ser a cultura que se deseja. Se há lacunas perceptíveis como uma cultura atualmente se comporta, mas existe um forte alinhamento organizacional sobre o modelo que se quer implantar, então a batalha já foi vencida pela metade. Por outro lado, se os trabalhadores de linha de frente e a alta administração tiverem visões muito diferentes do que é ideal, então será difícil passar para as práticas de HRCO até que essa dissonância seja resolvida.

Em nossa pesquisa, avaliamos o alinhamento de uma empresa com os pilares da HRCO, fazendo com que indivíduos classifiquem um grupo de 40 itens que descrevem sua cultura da forma mais precisa. Cada um desses itens — "faça o que lhe mandam", "antecipe problemas", "preste atenção à hierarquia" — é uma frase simples que corresponde a um dos cinco pilares e foi ajustada para identificar até que ponto uma organização age como uma HRCO. Essa análise produz uma avaliação quantitativa de seu alinhamento cultural com esses pilares — uma visão crítica de uma área sobre a qual não temos dados. Tal análise ajuda a entender os comportamentos que representam a maior fonte de risco potencial, as partes do negócio que originam esses riscos potenciais e o alinhamento da organização aos princípios da HRCO de acordo com cargos e níveis.

Vale a pena notar que alguns dos comportamentos descritos refletem posições que parecem "certos" à primeira vista, mas podem afetar negativamente o resultado. Por exemplo, quando se espera que os funcionários "sejam orientados para resultados" e/ou "façam o que for preciso", eles têm por objetivo entregar ótimos resultados e serem recompensados por isso. Mas esses comportamentos podem levar a soluções inadequadas (contra a formalidade) e ir "fora do sistema" (contra a integridade). Da mesma forma, os superiores que dizem às suas equipes para "trazer soluções, não problemas" podem pretender incentivar os funcionários a resolver problemas proativamente e assumir a autoria, mas na prática essa mentalidade focada em soluções os desencoraja de alertar rapidamente os outros para um problema (contrariando ter uma atitude questionadora).

A comunidade de cibersegurança está despertando para a lacuna gerada pelo desempenho humano. Em fevereiro de 2020, "o elemento humano" foi o tema central de uma grande conferência sobre o tema. As principais ideias que surgiram eram conhecidas: só a tecnologia é insuficiente; as coisas estão mudando muito rapidamente; precisamos usar as práticas organizacionais como uma linha de defesa que é chave para o sucesso.

Mesmo a melhor tecnologia falhará ou se tornará obsoleta diante de hacks cada vez mais sofisticados. Os bilhões gastos em tecnologia de segurança dos sistemas não resolveram e não resolverão o problema. Protocolos e procedimentos fortes são imperativos, mas não podem explicar todos os cenários. Recomendamos que os gestores se voltem para as lições dos HROs — organizações que foram capazes de operar em ambientes descentralizados e de alto risco, com um número notavelmente baixo de incidentes — e comecem sua jornada para se tornar um HRCO.

Em última análise, inculcar comportamentos de HRCO oferece um benefício insubstituível: quando a tecnologia e o processo falham, o desempenho humano é tudo o que está entre você e um ataque cibernético.