Max Havey [00:00:02] Olá e bem-vindos a mais uma edição do podcast Security Visionaries, um podcast sobre o mundo dos dados cibernéticos e da infraestrutura tecnológica, reunindo especialistas de todo o mundo e de vários domínios. Sou o apresentador de hoje, Max Havey, e hoje vamos falar sobre higiene cibernética com nosso convidado, Rich Davis, diretor de marketing de soluções de produtos da Netskope. Como o senhor está indo hoje, Rich?
Rich Davis [00:00:21] Sim. Olá, Max. É ótimo estar aqui. Estou ansioso pela conversa de hoje. Certamente um assunto que me é caro, pois já falei anteriormente, em detalhes, sobre o fator humano e como os seres humanos podem afetar as coisas. E, certamente, o tópico de hoje está muito alinhado com isso.
Max Havey [00:00:36] Sem dúvida. Então, sim, vamos começar aqui. Assim, no início do ano, tendemos a ver muitos dias de conscientização relacionados ao ciberespaço. Coisas como o National Change Your Password Day (Dia Nacional de Mudança de Senha), que será em 1º de fevereiro, ou hoje, quando for lançado, o Safer Internet Day (Dia da Internet Mais Segura). Mas, de acordo com a sua experiência, o senhor descobriu que esses tipos de dias de conscientização são realmente eficazes? Por exemplo, o que o senhor vê como impulsionador da mudança que os profissionais de segurança estão realmente buscando quando se trata de lidar com esse elemento humano?
Rich Davis [00:01:05] Sim, quero dizer, é claro que isso é uma faca de dois gumes. Em primeiro lugar, não podemos deixar de registrar qualquer publicidade. Qualquer publicidade, seja qual for a conscientização, é ótima. Acho que o problema é que, como acontece com todos esses tipos de coisas, isso pode se tornar uma espécie de "ok, vou fazer isso hoje e esquecerei outro dia." E, é claro, isso precisa ser um esforço durante todo o ano, certamente quando se trata de nossos usuários e das pessoas, que são a primeira linha de defesa. Portanto, eles precisam pensar sobre isso e sobre a segurança e o que estão fazendo no dia a dia. Então, novamente, é ótimo que nos concentremos nisso em um dia específico. Isso não é tão bom, pois pode fazer com que o senhor se esqueça do assunto outras vezes. E isso também é visto com frequência nos dados. Se o senhor observar alguns dos dados históricos sobre o comportamento do usuário, verá que, se uma ou duas semanas após o treinamento de conscientização sobre segurança for realizado, o resultado será melhor, as taxas de cliques no conteúdo serão menores. Havia maior probabilidade de fazer essas coisas. Eles se lembram de coisas como alertas de DLP que também caem, mas depois desaparecem. E, sim, é por isso que esse tipo de coisa é bastante eficaz. Sim. As organizações realmente precisam pensar que essa é uma evolução constante. Dia após dia, semana após semana.
Max Havey [00:02:16] Sem dúvida. A meia-vida do treinamento em segurança é muito baixa, com base em tudo o que já ouvi de nossos vários membros da equipe de CSO aqui. Portanto, é muito bom encontrar maneiras de manter a consciência durante todo o ano. Mas, em um único dia, parece ser um pouco ineficaz em geral.
Rich Davis [00:02:32] Sim, sim, com certeza. E acho que esses dias de internet mais segura e de mudança de senha deveriam ser, de certa forma, resignados àquele lixo de antigamente. E, na verdade, deveríamos estar pensando nisso, o senhor sabe, de forma muito mais holística.
Max Havey [00:02:47] Definitivamente, é mais uma conversa sobre higiene cibernética durante todo o ano, em vez de, o senhor sabe, apenas dias isolados em que eles são bem intencionados. Mas os resultados nem sempre são exatamente os que desejamos.
Rich Davis [00:02:56] Deveríamos chamá-la de vida mais segura na Internet. O senhor é mesmo?
Max Havey [00:02:59] Com certeza. E acho que isso nos leva à nossa primeira grande questão aqui, que é pensar na higiene cibernética. Por que o senhor acha que a higiene cibernética pode ser uma tarefa difícil, às vezes tediosa, para as organizações assumirem e tornarem um objetivo anual?
Rich Davis [00:03:12] Sim, acho que parte disso é um aspecto histórico. Então, todos nós já passamos por isso, todos nós já recebemos aquele e-mail que tememos, e é o tempo anual que falta para o treinamento e o senhor pensa: "Ah, são oito horas, não tenho tempo para isso". E automaticamente temos essa opinião negativa. E acho que, como indivíduos, também temos essa sensação inerente de que não precisamos fazer isso, que sim, temos bom senso, sabemos o que estamos fazendo. Portanto, acho que isso tem um papel importante. E acho que isso é parte do problema. Também acho que, com muita frequência, isso é orientado pelos benefícios para a organização e não pelos benefícios para o indivíduo. E acho que há muito, e já vimos isso ser realmente bem-sucedido, quando o foco é o indivíduo em suas famílias. Se o senhor puder estender isso para, sabe, como manter o senhor e sua família seguros. Então, as organizações, creio eu, têm mais impacto porque o senhor as torna relevantes para aquele indivíduo.
Max Havey [00:04:01] Sem dúvida, apelar para o lado pessoal do usuário parece ser a maneira de torná-lo real para ele. E não se trata apenas, o senhor sabe, de falar sobre dados amplos, abstratos e confidenciais. É o número do seu Seguro Social. É preciso garantir que suas senhas estejam seguras e que suas informações bancárias estejam seguras, pois são informações pessoais e identificáveis por um motivo. Nessa mesma linha, em suas funções, como o senhor encontrou maneiras de promover melhores práticas de higiene cibernética em sua organização? Talvez enfatizar melhor esse tipo de elemento pessoal que faz parte de tudo isso?
Rich Davis [00:04:30] Sim. E acho que isso se resume a algumas coisas. Em primeiro lugar, como o senhor está elaborando esse treinamento. E sim, estamos focados, o senhor sabe, especificamente em identidade e senhas até certo ponto, mas é claro que é muito mais amplo do que isso. Acho que se trata disso, como o senhor diz, de tornar a coisa pessoal. E isso significa dar exemplos da vida real que podem acontecer com os senhores, tanto no sentido comercial, quanto no sentido pessoal. Portanto, relacione o roubo de seus próprios cartões de crédito pessoais ao roubo de PIA ou propriedade intelectual da empresa. E o efeito que isso pode ter. Porque, mais uma vez, o senhor o torna pessoal, real e vinculável ao que eles pensam no dia a dia e com o que eles podem se preocupar pessoalmente. Acho que se pensarmos nisso em termos do outro lado, que é o tempo. E, quando fazemos isso, acho que se trata realmente de uma alimentação gradual ao longo do ano. Acho que as organizações só podem dedicar um determinado tempo para treinar seus usuários em um ano, e muitas organizações vão para "Okay. Certo. Oito horas. Vamos fazer isso com o senhor nesta data." E, na verdade, uma maneira muito mais eficaz é separar isso. Sim, o senhor pode ter, por motivos de conformidade, a necessidade de fazer determinado treinamento anualmente, porque precisa atender a esses requisitos, mas fora disso, o tempo é muito melhor aproveitado. O objetivo é alimentá-lo gradualmente e ter esse treinamento na hora certa, mas também torná-lo relevante para as situações que a empresa está enfrentando. Se o senhor puder, de fato, informar o usuário, o seu pessoal sobre os tipos de ameaças que são relevantes para a sua organização, em vez de torná-lo muito genérico. Por outro lado, ele fornece ao senhor esse vínculo com a organização. Eles podem entender por que estão sendo solicitados a fazer determinado treinamento. Portanto, o senhor obterá uma resposta geral melhor a esse treinamento. E já vi isso em primeira mão na minha vida passada, trabalhando com organizações e tentando acompanhar as mudanças de comportamento, passando desse tipo de programa de treinamento que ocorre uma vez por ano para um programa de treinamento muito mais direcionado, que se estende ao longo do ano, no qual o conteúdo é alimentado por gotejamento, e o treinamento é muito, muito mais amplo do que apenas aquele e-learning que ocorre uma vez por ano nesse portal.
Max Havey [00:06:44] Sem dúvida. E só para aprofundar um pouco mais, como o senhor falou, sabe, encontrar maneiras de tornar esses tipos de treinamentos relevantes para o usuário específico em sua família, em sua vida diária. Bem, o senhor pode nos dar alguns exemplos de como isso se parece e como isso acontece?
Rich Davis [00:07:00] Sim. Vou dar ao senhor um exemplo relevante para mim. Tenho filhos que acabaram de se tornar adolescentes e que, pela primeira vez, começaram a ter controle de suas próprias contas bancárias. Passamos de cuidar deles mesmos a dar-lhes acesso a aplicativos em seus telefones e a poder usar o Apple Pay. Portanto, isso é pessoal para mim diretamente, mas o foco é: bem, como o senhor protege isso? O senhor não quer que seu dinheiro suado, que pode ter sido ganho em tarefas domésticas, desapareça da noite para o dia porque o senhor foi descuidado com suas informações. Portanto, o senhor sabe, desde pequenos, começamos a conversar com eles sobre como se manterem seguros. Ambos têm gerenciadores de senhas nos quais podem armazenar suas principais credenciais. Falei sobre o motivo pelo qual isso é necessário e tentei torná-lo relevante para a situação em que o senhor se encontra. Portanto, acho que esse é apenas um ótimo exemplo de como o senhor pode tentar tornar isso relevante. Portanto, eles agora usam gerenciadores de senhas diariamente. Isso significa que eles têm apenas uma credencial da qual precisam se lembrar. Pode ser complexo porque há apenas uma coisa a ser lembrada. E isso acontece com uma criança de 13 e 15 anos. Portanto, se eles conseguem fazer isso, o senhor sabe, não há razão para que todas as pessoas, do ponto de vista comercial, não possam fazer a mesma coisa. Minha filha agora me encaminha, dá uma olhada e diz: "Ah, pai, olha como essa é óbvia". E, o senhor sabe, é um ótimo exemplo de como podemos realmente ver, sabe, o benefício do que estamos fazendo. Acho que outro ótimo exemplo é torná-lo relevante para o que as pessoas entendem no dia a dia. Portanto, se o senhor olhar para o YouTube, verá que houve uma enorme série de hacks em canais muito conhecidos do YouTube, incluindo alguns dos maiores canais de tecnologia e segurança do mercado. Linus Tech tTips. Um dos maiores tipos de dicas que muitas pessoas observam nessa área. Eles tiveram sua conta do YouTube comprometida e são pessoas que adotam as melhores práticas de segurança, usam gerenciadores de senhas, usam 2FA, mas ainda há uma maneira de contornar isso. E é aí que o elemento humano, mais uma vez, tem que entrar, pois não se trata apenas de proteger e impedir que as pessoas obtenham acesso, mas de detectar e informar essa organização muito rapidamente. E, nesse caso específico, alguém observou um comportamento incomum