No puzzle da cibersegurança a usabilidade pode ser a peça que falta
Ao pormos a usabilidade a funcionar a favor da cibersegurança, tornamos os processos mais transparentes, descomplicados e seguros, motivando o utilizador a fazer a escolha certa.
Conclusões de um estudo recente (Tessian Security Cultures Report 2022) indicam que um em cada três colaboradores não acredita ter um papel individual a desempenhar na manutenção da segurança cibernética da empresa onde trabalha. A mesma investigação destaca ainda que 25% dos colaboradores declara não se importar o suficiente com cibersegurança para sinalizar qualquer anomalia, e que apenas 39% das pessoas reportaria um incidente a uma equipa de segurança.
O tema da Segurança de Informação tem-se tornado cada vez mais relevante entre as empresas, resultado da exposição que este tema tem cada vez mais nos media, mas o que este estudo destaca é o enorme desajuste entre a necessidade de proteger e o entrosamento das equipas para tomar parte, o que deixa muitas estruturas empresariais numa situação de risco permanente. Isto, por sua vez, conduz-nos a algumas perguntas interessantes: se a necessidade de segurança é clara e compreendida por todos, porquê tanta resistência em contribuir para a garantir? De que forma poderá a segurança de informação passar a ser uma “preocupação” mais generalizada? Como tornar a proteção de dados “natural” e “universal”?
Acredito que a resposta à maior parte destas dúvidas pode estar numa mudança de paradigma, que deixe de colocar o acento tónico no fim – a Segurança de Informação –, e passe a focar o meio – o Utilizador. No fundo, encontrar formas de facilitar que a opção a tomar seja a segura para que, instintivamente, o caminho escolhido seja o certo.
Porque o relaxamento é o estado natural a que o ser humano procura regressar, forçar o utilizador a ter cuidados especiais nas suas atividades do dia a dia, resultará invariavelmente no desleixo pela segurança ou até mesmo na procura de alternativas menos seguras, mas mais fáceis de utilizar.
O aumento da perceção quanto às consequências da exposição a ataques tem levado a uma maior sensibilização dos cargos decisores, mas a recetividade das equipas tem de ter na sua base uma motivação contínua e uma satisfação duradoura, que iniba a procura de alternativas pouco seguras.
Ao pormos a usabilidade a funcionar a favor da cibersegurança, tornamos os processos mais transparentes, descomplicados e seguros, motivando o utilizador a fazer a escolha certa. Quero com isto dizer que segurança e usabilidade devem caminhar unidas – uma noção que não é nova, mas que ainda não é verdadeiramente assumida. A segurança deve permear-se em todas as operações sem se impor, tornando-se um tema secundário.
Promover a opção segura é, pois, o “puzzle” que se apresenta diariamente às equipas de segurança, para quem o utilizador tem de estar no centro de tudo o que desenvolvem. E a “peça” em falta pode muito bem estar mais à vista do que se pensa.
Ricardo Anastácio é CISO na Opensoft.
Artigo originalmente publicado no jornal Observador em agosto de 2022.