Ciberpsicologia: Incidentes de segurança são uma questão de caráter. O estresse e o comportamento individual dos funcionários influenciam o risco de segurança. A ESET entrevistou mais de 100 agentes de segurança de TI durante a pandemia de Covid-19 para uma análise.
As pessoas são consideradas o maior risco de segurança em uma empresa. Mas por que alguns funcionários clicam em links, baixam dados ou usam equipamentos pessoais quando a conformidade e o treinamento os proíbem de fazê-lo? O fabricante de segurança de TI ESET e a empresa de psicologia empresarial, Myers-Briggs, investigaram essas e outras questões de uma perspectiva psicológica comportamental. Para a análise, mais de 100 oficiais de segurança de TI foram entrevistados durante a pandemia de Covid-19 e suas atitudes e experiências foram avaliadas. E os resultados foram surpreendentes: o caráter do funcionário obviamente tem um papel decisivo na ocorrência ou não de um incidente de segurança.
O estresse influencia o tratamento da segurança de TI
O estresse diário dificilmente pode ser evitado. A pandemia de corona garantiu que a tensão aumentasse ainda mais. Nesse contexto, é útil entender melhor essa influência no próprio comportamento e no manuseio da segurança de TI. Oito personagens emergiram do estudo (Ativo, Explorador, Líder, Emocional, Guardião, Visionário, Analista e Consciencioso) que lidam de maneira diferente com o estresse e apresentam comportamentos distintos em questões de segurança.
Por exemplo, Ativo é analítico, extrovertido, lógico e imaginativo. Ele é estressado por tarefas teoricamente abstratas sem aplicações práticas atuais. Mais tarde, isso leva a um comportamento arrogante e perigoso e ao excesso de confiança. Em contraste, "O Consciencioso" tende a ser cooperativo, humilde e adaptável, bem como gentil e leal. Ele fica estressado quando tem que trabalhar com pessoas inflexíveis e irrefletidas. Sob pressão, o consciencioso ignora fatos e regras que não se encaixam na imagem autoprojetada e trabalha obsessivamente na solução ideal para ele - no pior dos casos, às custas da segurança.
Malware versus personagem
A grande maioria dos ataques cibernéticos não é bem-sucedida por causa da habilidade do hacker, mas sim por causa de erro humano ou descuido. De acordo com o estudo, os tipos de personalidade associados à determinação, realismo e clareza podem ser mais propensos a downloads maliciosos. O mesmo se aplica a pessoas com forte talento organizacional e aquelas que chamam a atenção por suas formas idiossincráticas ou imaginativas de trabalhar. Embora esses funcionários geralmente trabalhem com o protocolo de segurança passo a passo, a pressão do tempo e o estresse podem levá-los a tomar uma decisão rápida em prol da eficiência. Isso pode ser remediado concentrando-se estritamente nas informações relevantes antes de tomar decisões.
O phishing tem como alvo pessoas confiantes e positivas
Os e-mails de phishing estão entre os vetores de ataque mais perigosos – e entre os mais bem-sucedidos. Enquanto isso, as mensagens falsas são tão enganosamente reais que até os especialistas precisam olhar várias vezes para desmascará-las. Tipos de personalidade que passam pela vida com confiança, positividade e coragem parecem ser particularmente suscetíveis a golpes de phishing. Pessoas entusiasmadas e criativas que dizem ter um alto nível de entusiasmo também devem ser particularmente cuidadosas. Quando se trata de segurança de TI, esses personagens devem reservar um tempo para verificar a confiabilidade das mensagens recebidas antes de abri-las, baixar anexos ou responder. Você deve ter cuidado especial com e-mails com conteúdo interessante ou uma apresentação emocional.
A Internet das Coisas põe em perigo os pragmatistas
A Internet das Coisas (IoT) há muito se tornou parte integrante de nossas vidas: a porta do escritório abre automaticamente quando você chega, a máquina de café inteligente faz o cappuccino quando você começa a trabalhar e a iluminação da mesa se adapta ao clima. É claro que tudo isso atrai os cibercriminosos, porque muitos dos dispositivos IoT usados precisam se recuperar quando se trata de segurança de TI. Quando o erro humano é adicionado, torna-se crítico.
Ao lidar com a IoT em particular, torna-se evidente que os tipos de personalidade que são práticos e que também são considerados diretos, abertos e atenciosos podem ser vulneráveis se assumirem a configuração dos dispositivos conectados em suas próprias mãos. Pessoas com altas habilidades de resolução de problemas e tendência a serem independentes também estão em risco. Isso é verdade mesmo que eles normalmente sigam as regras. A melhor abordagem para esses tipos de personalidade não é sempre presumir que você sabe mais. Eles também devem garantir que nenhuma regra ou regulamento seja ignorado.
Conclusão do estudo
Os ataques cibernéticos são uma ameaça constante para as empresas. Compreender as personalidades individuais pode desempenhar um papel fundamental na estratégia de segurança de TI de uma empresa. Dessa forma, conceitos de treinamento mais eficazes podem ser desenvolvidos e os funcionários podem ser motivados a se concentrar mais em sua auto-reflexão e em suas habilidades. Entender que o fator humano é tão importante para a segurança de TI quanto os aspectos técnicos é o primeiro passo para desenvolver conceitos holísticos de segurança de TI para as empresas. O estudo pode ser baixado gratuitamente.
Mais em ESET.comSobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.