Mais de 90% dos ciberataques exigem interação com o usuário. Isso significa que ações simples do usuário — como cliques indevidos e senhas mal utilizadas — podem ter consequências graves. Com tanto em jogo, nunca é demais enfatizar a necessidade de erradicar tais comportamentos.
Para chegar ao centro dessa questão, Andy Rose, CISO residente da Proofpoint encarregado da região EMEA, reuniu-se recentemente com o Dr. B. J. Fogg, Ph.D., cientista comportamental da Universidade de Stanford, para discutir a ciência por trás do comportamento e como hábitos podem ser criados e mudados. Dr. Fogg também é um autor best-seller e criador do Fogg Behavior Model (modelo comportamental Fogg).
Seguem alguns destaques da conversa:
Andy Rose: Eu gostaria de começar pedindo uma explicação sobre o Fogg Behavior Model e os conceitos que o sustentam.
Dr. Fogg: Pois não. Trata-se de um modelo universal para todos os tipos de comportamento, todas as idades e todas as culturas. O modelo demonstra que o comportamento ocorre quando motivação, capacidade e solicitação convergem ao mesmo tempo. Ou seja, a motivação (Motivation) para ter o comportamento, a capacidade (Ability) de ter o comportamento e a solicitação (Prompt) para agir conforme o comportamento.
Uma ilustração do Fogg Behavior Model. Fonte: behaviormodel.org.
Digamos que você queira que alguém faça uma doação para a Cruz Vermelha. Se a pessoa está supermotivada a fazer isso e se é uma coisa fácil de fazer, há uma alta probabilidade de que essa pessoa atenda o pedido. Agora, digamos que a pessoa não gosta da Cruz Vermelha e que seja difícil doar. Nesse caso, é improvável que ela atenda o pedido.
Entre as gamas de motivação e capacidade há um limiar chamado de linha de ação. Quando a pessoa está abaixo dessa linha, ela não manifesta o comportamento quando solicitada. Quando está acima, ela executa. Nisso se resume o Fogg Behavior Model.
Todos os comportamentos próprios dos seres humanos se traduzem em motivação, capacidade e solicitação. Se um desses fatores faltar, o comportamento não ocorrerá. Com esse modelo, você pode analisar e decidir o que está faltando.
Você escreveu um livro sobre o mesmo assunto, chamado Tiny Habits. Eu sei que ele se propõe a ajudar as pessoas a mudar seus próprios hábitos. Mas o que os profissionais de cibersegurança precisam fazer de diferente para aplicar esse modelo em massa?
Há uma maneira diferente de pensar nisso em escala, mas continua sendo uma questão de qual é o comportamento específico que esperamos das pessoas, e de qual é o posicionamento das pessoas em termos de motivação, capacidade e solicitação, e do que está faltando para que as pessoas manifestem — ou não — esses comportamentos.
Podemos seguir em ambos os sentidos. Você pode acrescentar uma solicitação ou aumentar a motivação, mas também pode eliminar uma solicitação ou tornar algo mais difícil de fazer. De uma forma ou de outra, a especificidade muda o comportamento.
Portanto, dizer “fique ciberseguro” é uma generalização. Em vez disso, você precisa ser o mais específico possível — ou seja, ao ver este tipo de e-mail, tenha este comportamento específico. É necessário explicar ao máximo.
O comportamento divide-se em três elementos essenciais.
Se eu tivesse que escolher uma coisa como foco principal após a especificidade, seria perguntar: “Como podemos mudar a dificuldade desse comportamento para estimular ou desestimular determinadas ações?” Às vezes não podemos mudar a motivação com muita confiabilidade. Mas podemos tornar as coisas mais fáceis ou mais difíceis de fazer — e podemos fazer isso em escala.
Falemos da questão da motivação. Estamos sempre dizendo às pessoas o que fazer, como fazer e o que procurar. Atualmente, porém, o treinamento tende a deixar de fora as consequências dos comportamentos. Como podemos agregar a motivação e as consequências em um programa de conscientização quanto à segurança sem exagerar na punição e desanimar as pessoas?
Você precisa que as pessoas alinhem um comportamento necessário com algo que o usuário já queira — um fator de motivação. Pode ser uma promoção, status, a admiração dos filhos e assim por diante. Vemos isso o tempo todo. Por exemplo, as pessoas não andam em esteiras ergométricas à toa, mas porque querem se sentir com mais energia e melhorar a saúde.
Então, a chave é encontrar algo que elas já queiram e alinhar com isso o seu comportamento desejado. Quando isso não é possível, você precisa mudar o componente de capacidade ou de solicitação e usar esses fatores. Mas sempre que possível — e isso é a regra número um no meu livro — ajude as pessoas a fazer o que elas já querem fazer.
Isso tem relação com a popularidade da ludificação? É uma maneira de criar um desejo de fazer algo?
Sim. É possível criar maneiras de motivar. Frequentemente, isso é chamado de ludificação. Pode ser bem feita e pode ser mal feita.
Eu, por exemplo, não sou fã de rankings. Quantas pessoas se sentem bem-sucedidas quando há um ranking público? Uma; talvez duas. A grande maioria sente-se fracassada. Então, é preciso ter cuidado com as técnicas utilizadas para elevar a motivação e assegurar que elas tenham um apelo amplo.
Agora falemos de solicitações. Quais dicas você pode nos dar sobre como criar solicitações eficazes e duradouras, com as quais as pessoas continuem se relacionando?
Essa é uma pergunta difícil. Não existe uma maneira mágica. Se você solicita uma pessoa reiteradas vezes, ela pode ficar alheia a isso rapidamente. Portanto, as solicitações precisam chegar nos momentos certos. Não é interessante solicitar uma pessoa a fazer algo quando ela não está disponível. Se ela está supermotivada a seguir um módulo de treinamento, mas não pode no momento em que recebe a solicitação, isso pode ser frustrante. Idealmente, você deve solicitar a pessoa quando ela tem tanto a motivação quanto a capacidade.
Com uma população grande, isso fica ainda mais complicado. Então, você precisa fazer o melhor que pode com as informações que tem e agir de acordo com elas. Digamos que ocorra um incidente de cibersegurança em uma outra empresa e que todo mundo esteja falando disso. Adivinhe o que acontece! As pessoas ficam mais motivadas que o comum. Se você precisar que elas reservem algum tempo em suas agendas, elas se mostrarão mais aptas a fazer isso.
Voltando à questão do conteúdo, vários profissionais de segurança estão criando conteúdo para transmitir solicitações e mensagens de conscientização. Como eles podem criar um conteúdo que os destinatários queiram ver e rever, repetidamente?
Permita-me começar com o que não fazer. Eu chamo isso de “falácia da informação-ação”: Se apenas dermos informação às pessoas, isso mudará sua atitude, o que, por sua vez, mudará seu comportamento.
Isso soa bastante lógico. Mas não é o que acontece a longo prazo. Por que? Porque as pessoas acreditam no que querem acreditar. A informação não muda atitudes confiavelmente. E mesmo que mudasse, certamente não muda comportamentos.
Então, é melhor pegar um comportamento e alinhá-lo com o que as pessoas já querem fazer. Assim, você não precisa necessariamente mudar atitudes para mudar comportamentos. Respondendo à sua pergunta, quando as pessoas têm um comportamento e se sentem bem-sucedidas, isso muda o que elas pensam de si mesmas.
Por isso é muito importante que elas tenham um feedback. Se alguém denuncia um e-mail de phishing ao centro de operações de segurança ou faz a coisa certa, esse ato precisa de reconhecimento o mais rápido possível, correto?
Sim, o imediatismo desse feedback é de grande importância. Você não pode deixar passar 30 dias e só então oferecer uma pequena condecoração ou reconhecimento. Isso seria um incentivo, mas não um reforço comportamental. A emoção, a sensação de sucesso, precisa ocorrer muito rapidamente.
E quanto à medição? Se você está tentando criar uma cultura de segurança, como criar um dashboard ou métrica que possa ser levada ao conhecimento da diretoria para mostrar o seu sucesso?
Bem, certamente existem medições quantitativas que podemos fazer com sistemas digitais. Mas eu não sou especialista nisso. Do ponto de vista da psicologia, o que resta é a denúncia pelo próprio usuário.
Com certeza eu mediria mudanças de identidade dessa forma. Uma questão que usei por mais de 10 anos no programa Tiny Habits consistia em dizer, “Eu sou o tipo de pessoa que…”, e deixar que a pessoa completasse a frase. É uma boa maneira de medir a confiança ou a autoeficácia da pessoa ao longo do tempo.
Dr. Fogg, foi um prazer enorme falar com você! Para encerrar, você teria considerações finais ou recomendações a fazer para o pessoal de treinamento para conscientização quanto à segurança que está lendo isto?
Sim. A boa notícia é que há um sistema por trás do comportamento humano. Você não precisa recorrer a adivinhações. Você pode analisar sistematicamente, projetar sistematicamente, e pode testar, iterar e aprimorar. E sistemas dão a você confiança no que está fazendo. Você não precisa imaginar se está no caminho certo. Basta aprender o sistema e aplicá-lo.
Saiba mais sobre o Dr. Fogg e conheça seu novo livro, Tiny Habits.
Descubra New Perimeters — Proteja as pessoas. Defenda os dados
Gostaria de ler mais artigos como este? Acesse os mais recentes insights sobre cibersegurança em nossa revista exclusiva, New Perimeters. Essa publicação está disponível para navegação on-line, download para leitura posterior ou em versão impressa entregue diretamente na sua porta.
Você pode obter o seu exemplar gratuito de New Perimeters, a revista exclusiva da Proofpoint, aqui.