A base da cibersegurança é a honestidade

Reconhecer as falhas é o primeiro passo para alcançar o sucesso. Mas isso não é fácil. O ser humano tem muita dificuldade de vencer a vergonha e reconhecer que errou. Quando falamos em cibersegurança, isso é ainda mais crucial. No mundo da internet é praticamente impossível criar um sistema completamente invulnerável. Brechas existirão aqui, lá ou acolá. O que realmente não pode ser tolerado é a falta de honestidade dos profissionais da cibersegurança.
Publicado em Internet dia 20/08/2021 por Alan Corrêa

Reconhecer as falhas é o primeiro passo para alcançar o sucesso. Mas isso não é fácil. O ser humano tem muita dificuldade de vencer a vergonha e reconhecer que errou. Quando falamos em cibersegurança, isso é ainda mais crucial.

No mundo da internet é praticamente impossível criar um sistema completamente invulnerável. Brechas existirão aqui, lá ou acolá. O que realmente não pode ser tolerado é a falta de honestidade dos profissionais da cibersegurança.

Honestidade é melhor forma de vencer o constrangimento

Quando um programador ou especialista em cibersegurança comete um erro, ou simplesmente deixa uma brecha para os hackers, ele fica muito constrangido e envergonhado. Sua tendência natural é esconder a falha de segurança. Mas isso é um erro, que só pode ser vencido com a honestidade.

Alguns chegaram a clicar num link de phishing e introduziram um vírus no computador, outros tiveram sua identidade roubada. Outros ainda apenas escreveram um código inseguro. Muita coisa pode ter acontecido.

Existe um problema maior que nenhuma ferramenta é capaz de corrigir: a vergonha associada aos erros que são cometidos pelo profissional da cibersegurança. Esses profissionais gostam de pensar que são competentes, que dominam o conhecimento técnico, e que são infalíveis.

Quando eles cometem um erro o impacto emocional pode ser ruim. Mas não lidar com esses erros pode ser catastrófico para o próprio profissional e para a empresa à qual ele presta o seu serviço. Em alguns casos pode levar muito tempo para corrigir, ou pode-se perder muito dinheiro no caminho.

Por isso, é muito importante que o profissional tenha a honestidade de identificar e reconhecer o erro o quanto antes. Isso vai permitir que outros profissionais analisem com um olhar diferente a situação, ajudando na resolução do problema e “estancando” as consequências da invasão ou da brecha deixada aberta.

A base da cibersegurança é a honestidade
A base da cibersegurança é a honestidade

Exemplos que marcaram a questão da cibersegurança

Um exemplo clássico que marcou o mundo da cibersegurança foi a invasão dos servidores ucranianos em 2015, que desconectou a energia elétrica de 225 mil clientes. Foram preciso meses de trabalho para restaurar as operações. Tudo começou com um link de phishing.

Calcular o número de pessoas prejudicadas nesse caso não é possível. Quando se fala em “clientes” pode ser um prédio de apartamentos, uma instalação industrial, um centro comercial, ou uma casa onde vivam muitas pessoas.

Outro exemplo famoso foi o da quebra de dados da Equifax em 2017, que expôs informações pessoais identificáveis de mais de 140 milhões de pessoas. O prejuízo à empresa poderia ser na casa dos US$ 1,4 bilhões.

A base da cibersegurança é a honestidade
A base da cibersegurança é a honestidade

Tecnologia e inovação constantes

Fundamentalmente, trata-se de tecnologia e inovação. Devemos entender que inovação é uma coisa boa, torna a vida das pessoas melhor. Hoje, os carros que dirigimos são praticamente computadores sobre rodas.

Na tela da central multimídia ele nos mostra o melhor caminho para evitar o tráfego intenso, ou ainda nos avisa quando devemos realizar a manutenção, entre muitas outras conveniências. Isso sem falar nos sistemas automatizados que garantem a nossa segurança.

Não é diferente na área da saúde. Muitas pessoas utilizam dispositivos conectados, como os marca-passos, ou monitores de glicose com bomba de insulina. São dispositivos que fazem as pessoas viverem mais e melhor.

Mas tudo que está conectado, de alguma forma pode ser invadido. Vivemos num mundo conectado digitalmente, e riscos cibernéticos estão por toda parte. Por isso especialistas em cibersegurança têm se esforçado para conscientizar as pessoas no ambiente de trabalho, para que saibam o que fazer e o que não fazer.

Desmitificando a cibersegurança

O que podemos tentar fazer é desmitificar a cibersegurança, tornar a segurança cibernética menos misteriosa. A grande questão é que quando a cibersegurança está funcionando, não percebemos que ela está lá. Só nos damos conta quando algo dá errado.

O começo da cibersegurança, entretanto, está justamente na noção de segurança psicológica, noção que foi popularizada por uma cientista de comportamento organizacional, Amy Edmondson.

Amy estudou a conduta das equipes médicas em situações de alto risco em hospitais, onde erros podem acontecer e de fato acontecem. Ela notou que as enfermeiras não ficavam à vontade quando traziam sugestões aos médicos.

Para ajudar melhorar essa situação, a cientista incentivou que os médicos fossem mais receptivos e as escutassem com mais paciência, sem jugar e sem exercer sua autoridade de forma ríspida. Isso aumentou a confiança das enfermeiras.

Segurança psicológica é exatamente isso, que as pessoas se sintam confortáveis para falar e apontar certas situações ligadas à cibersegurança. Ou seja, que qualquer um na empresa se sinta confortável para dizer aos executivos veteranos, ou aos desenvolvedores de software, sobre possíveis erros.

A base da cibersegurança é a honestidade
A base da cibersegurança é a honestidade

Mudança no comportamento e na comunicação

Como dissemos no início, a cibersegurança só é possível quando há honestidade. Mas essa honestidade tem que ser de ambas partes, daqueles que trabalham diretamente na cibersegurança, como daqueles que percebem a falha e têm receio de se manifestar.

Para isso, mudar o comportamento dos profissionais da cibersegurança é indispensável. Será necessário um grande esforço pessoal para aceitar as críticas. Os gestores podem começar essa tarefa reconhecendo e tornando público os acertos da segurança cibernética.

Isso encorajaria toda a empresa a melhorar a comunicação sobre a cibersegurança. Por exemplo, boletins informativos, blogs, sites, qualquer que seja o meio de comunicação, desde que melhore o comportamento nesse sentido.

A jornada cibernética é uma jornada, e não um destino. Por isso, é preciso trabalhar nela continuamente. Podemos ver os profissionais da cibersegurança como bombeiros digitais, que estão sempre alertas para apagar o fogo, que inevitavelmente vai acontecer.

Esses profissionais ajudam a proteger nossa identidade, invenções, propriedade intelectual, nossa rede elétrica, dispositivos médicos de saúde, carros conectados, uma infinidade de coisas que fazem parte da nossa vida moderna.

Essa é uma realidade que veio para ficar, e precisamos aprender a criar um ambiente para aprender a partir dos nossos erros, e nos comprometer a melhorar as coisas. Isso só é possível com honestidade e confiança.

A base da cibersegurança é a honestidade
A base da cibersegurança é a honestidade