Usar a mudança de comportamento para influenciar a forma como as pessoas interagem com a tecnologia aborda apenas os sintomas, e não a causa principal quando se trata de gerenciar o risco humano na cibersegurança. Uma abordagem mais eficaz para a segurança cibernética, segundo a pesquisa de Horatiu Petrescu, é desviar o foco de tentar mudar o comportamento humano e, em vez disso, projetar a tecnologia para funcionar com segurança durante a interação humana.
A solução proposta — “human-centered design”, envolve levar em consideração as necessidades e limitações das pessoas — a forma como pensam, se comportam e interagem com a tecnologia ao projetar e construir software e aplicativos. Ao projetar para humanos, é possível criar tecnologia segura e fácil de usar. Além disso, essa abordagem prioriza a usabilidade, tornando os recursos de segurança intuitivos e fáceis de usar.
A solução de longo prazo proposta é a seguinte:
- Aplicar o Human-Centered Design ao ciclo de vida de desenvolvimento de software (SDLC) – principalmente garantindo uma abordagem “usable by design” (estratégias de intervenção de mudança comportamental também podem ser usadas aqui, se necessário).
- Usar Inteligência Artificial/Aprendizado de Máquina (AI/ML) para auxiliar os profissionais técnicos de segurança com a complexidade tecnológica de avaliar e configurar a segurança de aplicativos e sistemas.
- Mudar da abordagem tradicional de conscientização de segurança ineficaz para estratégias de “conscientização de segurança holística”.
Colocando em prática o Human-Centered Design
Markswell Coelho, coordenador da IBSEC – Instituto Brasileiro de Cibersegurança, afirma que os departamentos de segurança geralmente veem os usuários como uma ameaça potencial que deve ser gerenciada. É amplamente aceito que muitos usuários são negligentes e pouco entusiasmados com a segurança do sistema.
Pesquisas datadas de 1999 descobriram que os usuários que comprometem de forma não intencional ou deliberada as medidas de segurança do computador, como a autenticação de senha, geralmente fazem isso devido a implementações de segurança inadequadas. A sugestão na época era adotar uma abordagem de design centrada no usuário para melhorar a situação, tornar os humanos mais seguros em vez de tornar a segurança mais utilizável desde o início.
Petrescu ainda afirma em sua pesquisa que embora o conceito de human-centered design em cibersegurança possa parecer simples na teoria, colocá-lo em prática pode ser um desafio. Isso requer uma mudança de mentalidade, afastando-se da abordagem tradicional de segurança em primeiro lugar e adotando uma abordagem de usuário em primeiro lugar. Também requer colaboração entre várias equipes, incluindo especialistas em segurança, designers e desenvolvedores.
A implementação do human-centered design na segurança cibernética envolve os usuários no processo de design e desenvolvimento. Isso pode ajudar a garantir que a tecnologia que está sendo desenvolvida seja amigável e que as medidas de segurança sejam adaptadas à maneira como os usuários pensam e se comportam. Além disso, a realização de pesquisas com usuários, testes de usabilidade e comentários de usuários podem ajudar a identificar possíveis problemas de segurança antes que eles se tornem um problema.
A implementação do Human-centered design na cibersegurança requer uma colaboração entre designers, desenvolvedores e especialistas em segurança. Os designers devem entender as ameaças e os riscos envolvidos na segurança cibernética, enquanto os especialistas em segurança devem entender a importância da usabilidade e da experiência do usuário. Juntos, eles podem criar software e aplicativos seguros e fáceis de usar.
Outro aspecto importante do Human-centered design em cibersegurança, segundo o Petrescu, é adotar uma abordagem holística e considerar toda a jornada do usuário. Isso significa pensar em como os usuários irão interagir com a tecnologia, não apenas no momento do login ou ao inserir informações sigilosas, mas ao longo de todo o processo. Considerando todos os pontos de contato, é possível identificar possíveis vulnerabilidades e desenhar soluções sob medida para o usuário.
Ele finaliza falando da importância de avaliar e melhorar continuamente o design. As ameaças à segurança estão em constante evolução, e a tecnologia usada para combatê-las também deve evoluir. Isso significa revisar e atualizar regularmente o design para garantir que ele permaneça eficaz na proteção contra novas ameaças.
Mais informações: IBSEC
