A maioria das organizações tem em vigor uma ampla gama de controles para ajudar a prevenir, detectar, mitigar – e, em última análise, se recuperar – dos riscos de segurança cibernética. No entanto, se elas possuem um conjunto eficaz de controles, isso é outra questão. Controles técnicos tendem a dominar esse cenário: firewalls, verificação de vírus, detecção de invasões, aplicação de patches etc. No entanto, à medida que tecnologia se torna se cada vez integrada nas nossas vidas, se torna necessário também empregar controles mais “humanos”, orientados para as pessoas, juntamente com as soluções técnicas tradicionais.
Treinamento, em particular, é um desses controles “humanos” mais eficientes. Muitas ameaças emergentes surgem devido à falta de conhecimento dos colaboradores com relação aos riscos e impactos dessas ameaças em caso de materialização (por exemplo, publicação de comentários litigiosos nas mídias sociais ou compartilhamento de documentos confidenciais fora da organização), e o treinamento fornece pelo menos dois importantes fatores atenuantes para a organização: (i) conscientiza os funcionários sobre possíveis danos causados por riscos relacionados com o ser humano e; (ii) demonstra a devida diligência por parte da organização em caso de demissão/ações legais como resultado de comportamento on-line perigoso.
Combinando Controles Técnicos e Humanos: A Estrutura de Alavancas de Controle
Somente treinamento, porém, não é suficiente para mitigarmos esses riscos cibernéticos emergentes de forma satisfatória. Aqui se faz necessário uma estrutura de controles que combine elementos técnicos com elementos humanos/sociais. E uma abordagem muito interessante nesse sentido é a chamada Estrutura de Alavancas de Controle (Levers of Controls – LOC Framework), definida pelo professor Robert Simons, da Harvard Business School, em sua obra Levers of Control - How Managers Use Innovative Control Systems to Drive Strategic Renewal (1995). Essa estrutura pode muito bem ser adaptada para riscos relacionados à segurança cibernética.
De maneira resumida, o tema central da Estrutura de Alavancas de Controle é que existem quatro alavancas principais compõem o sistema de controles de uma organização: (i) Sistemas de Crenças; (ii) Sistemas de Controle de Fronteiras; (iii) Sistemas de Controle de Diagnóstico e; (iv) Sistemas de Controle Interativos. O poder destas quatro alavancas não reside em como cada uma é usada individualmente, mas sim em como funcionam juntas, como elas se complementam e como alcançam equilíbrio. As alavancas geram resultados positivos e forças negativas que, em conjunto, criam uma tensão dinâmica entre inovação e renovação estratégica, por um lado, e previsível cumprimento de metas, por outro, ambos os quais precisam ser gerenciados para garantir o sucesso a longo prazo da organização.
A Figura 1 abaixo exemplifica a Estrutura de Alavancas de Controle definida pelo professor Simons:
FIGURA 1: As Alavancas de Controle
Embora as alavancas de Simons não tenham sido desenvolvidas tendo em mente a segurança cibernética, elas fornecem um mecanismo útil para pensar sobre a combinação de mecanismos técnicos e de mecanismos mais orientados para as pessoas que devem ser utilizados para controlar os riscos de segurança cibernética. Para torná-lo mais relevante para a segurança cibernética, porém, é interessante estender o trabalho de Simons para incluir uma quinta alavanca, a dos Sistemas de Controle de Continuidade, que são de vital importância quando se lida com a natureza inesperada e altamente perturbadora dos eventos de segurança cibernética.
A Tabela 1 abaixo explica essas alavancas e fornece alguns exemplos de controles de segurança cibernética para ilustrar cada categoria:
TABELA 1: Sistema de Alavancas de Controle Aplicado à Segurança Cibernética
Um ambiente de controle eficaz para o risco de segurança cibernética deve incorporar cada uma destas alavancas. Os controles específicos utilizados e a ênfase atribuída a uma alavanca específica podem variar ao longo do tempo e quase certamente irão variar de acordo com o tipo de risco em questão. Contudo, seria raro encontrar uma situação que não exigisse uma combinação de controles de cada alavanca.
Segurança Cibernética e Recursos Humanos: Estreitando os Laços
Os profissionais de segurança cibernética podem sentir-se menos confortáveis ao lidar com algumas das alavancas de controle “humanas” descritas acima (mais especificamente os “Sistemas de Crenças” e os “Sistemas de Controle Interativos”). A maioria dos controles de segurança cibernética estabelecidos atualmente enquadra-se nos domínios dos “Sistemas de Controle de Fronteira”, “Sistemas de Controle de Diagnóstico” e “Sistemas de Controle de Continuidade”, que tendem a envolver a utilização de controles técnicos.
Estes controles técnicos são claramente muito importantes na gestão dos riscos de segurança cibernética, mas eles não são uma panaceia. A utilização de controles menos técnicos e mais orientados para as pessoas é igualmente importante e não deve ser ignorada. Para ajudar a fazer melhor uso dos Sistemas de Crenças e de Controle Interativo, os profissionais de segurança cibernética devem construir relações de trabalho mais estreitas com as funções de RH. Os profissionais de RH são muitas vezes especialistas nos elementos mais delicados do controle de riscos (como a gestão de culturas organizacionais) e têm acesso a uma série de ferramentas e técnicas especializadas que podem ser utilizadas para apoiar a gestão de riscos de segurança cibernética.
Por exemplo, os profissionais de RH podem ser capazes de adaptar os procedimentos de recrutamento da organização para ajudar a filtrar funcionários que possam expor a organização a um elevado nível de risco de segurança cibernética (por exemplo, através da devida diligência nas redes sociais, como consultar o perfil público de um candidato na Internet). Além disso, o processo de indução poderia ser utilizado tanto para aumentar a sensibilização para as questões de segurança cibernética como para garantir que as políticas e procedimentos sejam compreendidos, incluindo as implicações do seu descumprimento.
Os profissionais de RH também devem ser capazes de apoiar tentativas de gerir os aspectos da cultura de uma organização que podem influenciar as suas exposições à segurança cibernética. Uma cultura de segurança cibernética “apropriada” deve ajudar a reduzir o risco de eventos acidentais e deliberados de perda relacionados à riscos cibernéticos influenciando o comportamento dos colaboradores.
Existem muitos Sistemas de Crenças e Sistemas de Controle Interativos que podem ser usados para criar uma cultura organizacional que melhor apoie a prevenção, detecção e correção de eventos de segurança cibernética. Esses mecanismos incluem:
Promover a sensibilização para a segurança através de iniciativas de formação e educação;
Estilos e atitudes de gestão: o chamado “tom do topo” (tone from the top);
Avaliações de desempenho/remuneração baseadas em comportamentos e ações relacionados à segurança cibernética;
Procedimentos disciplinares e;
Procedimentos de recrutamento (entre outros).
Em termos de estabelecimento de Sistemas de Controle Interativos eficazes para a segurança cibernética, a importância da comunicação bidirecional também deve ser enfatizada. Neste caso, as organizações devem garantir claramente que mantêm todo o pessoal relevante informado sobre os potenciais riscos de segurança cibernética que podem encontrar e, significativamente, sobre as implicações desses riscos para a organização.
Adicionalmente, é fundamental a transferência de informações dos colaboradores para a organização, o que deve incluir o encorajamento do pessoal a ser aberto sobre os seus erros (por exemplo, acessar um website infestado de vírus ou partilhar informações confidenciais). Com a comunicação e monitoramento tempestivos dos incidentes, podem ser tomadas medidas corretivas eficazes para limitar quaisquer danos. Além disso, podem ser retiradas lições para o futuro, permitindo a implementação de novas estratégias de controle.
Conclusão
Em resumo, a única certeza verdadeira que temos é que a tecnologia continuará a tornar-se mais sofisticada (mais rápida, com mais armazenamento, mais inteligente, mais distribuída etc.) e que essa tecnologia continuará a ser cada vez mais incorporada nas nossas vidas, em casa, no trabalho e através da sociedade como um todo. Todo este campo de estudo ainda não foi investigado suficientemente e os aspectos relacionados com o comportamento humano online e como este pode manifestar-se no local de trabalho ainda não são totalmente compreendidos.
Porém uma coisa é certa: o elemento essencial para uma gestão bem-sucedida dos riscos de segurança cibernética no século XXI é adotar uma abordagem também orientada para as pessoas e que considere elementos menos técnicos, como a cultura organizacional e o comportamento humano.
