Os CISO treinam as suas equipas para combater os hackers, mas ignoram frequentemente a tendência humana para congelar durante uma crise. O planeamento da psicologia de resposta a incidentes pode ajudar a gerir isto.
Por Mary K. Pratt
Se houver uma intrusão ou um ataque de resgate no seu negócio, a sua equipa de segurança estará pronta para uma verdadeira luta? Os CISO podem sentir que o seu pessoal está sempre preparado com os conhecimentos técnicos e a formação de que necessitam, mas a verdade é que há uma hipótese de congelarem quando a pressão é exercida, diz Bec McKeown, diretor de Ciências Humanas da plataforma de formação de segurança cibernética Immersive Labs. “É possível que tenha um livro de crises e políticas de crise onde procure soluções durante um incidente; no entanto, nem sempre é essa a realidade porque a forma como o cérebro funciona não é apenas luta ou fuga. É lutar, voar ou congelar”, acrescenta ele. “Tenho ouvido as pessoas dizerem: ‘Sabíamos como responder a uma crise, mas não sabíamos o que fazer quando ela realmente acontecia.
McKeown é uma psicóloga cuja investigação em indústrias de alto risco lhe deu uma nova perspetiva sobre a forma como os seres humanos reagem durante as crises. A sua opinião não é meramente teórica. Os gestores de segurança também confirmam que viram as equipas parar completamente na resposta a incidentes reais, incluindo os que se tinham preparado para tais circunstâncias.
Os problemas aumentam quando a equipa congela
Um atraso na resposta, mesmo de algumas horas, pode dar aos cibercriminosos mais tempo para infligir danos e prolongar os tempos de recuperação. Pode também levar a custos de resposta mais elevados e, possivelmente, a grandes multas regulamentares e à perda de negócios. Dado o potencial para tais reações, McKeown, analistas e gestores de segurança acreditam que os líderes de segurança devem antecipar essa resposta congelada, incorporar práticas que ajudem a minimizar as hipóteses de ocorrência, e desenvolver estratégias para identificar e lidar com ela caso ocorra realmente durante um evento de segurança real. “É preciso compreender como se vai reagir nestes tempos de crise. Pode desenvolver na sua equipa competências que lhe permitam ser ágil e ajudá-los a reagir quando não têm o contexto situacional completo. Trata-se de uma preparação psicológica”, salienta McKeown.
Como e porquê as equipas congelam
Os CISO não devem ficar surpreendidos ao saber que mesmo equipas bem preparadas podem ter momentos de paralisia; é a natureza humana, observa ela. Os empregados podem experimentar um abrandamento cognitivo devido ao foco numa única situação à sua frente que os impede de considerar todas as circunstâncias e pensar como normalmente fariam.
Niel Harper, um líder de segurança cibernética empresarial e diretor da associação de governação ISACA, testemunhou o congelamento da sua equipa em resposta a um ataque de resgate no seu primeiro dia numa empresa como consultor. “Eles literalmente não sabiam o que fazer, mesmo tendo alguma experiência, estavam em modo de pânico”, disse ele. Diz ter visto outras situações em que a resposta foi bloqueada e, portanto, atrasada. Em alguns casos, as equipas temiam que fossem vistas como exageradas. Noutros, estavam paralisados pelo medo de serem culpados. E noutros incidentes, não havia membros da equipa que tivessem experimentado e trabalhado num caso real, pelo que não havia ninguém que se sentisse confiante para liderar. “Todos estes problemas, sozinhos ou combinados, podem levar a um congelamento organizacional”.
Chris Hughes, professor adjunto na Escola de Segurança Cibernética e Tecnologia da Informação no campus global da Universidade de Maryland, diz que também ele viu uma tal situação desabrochar. Trabalhava com uma equipa de segurança de uma agência governamental que identificou tráfego suspeito, confirmou-o como malicioso, e depois acertou num bloqueio de estrada que os impedia de tomar medidas.
Efeito espectador
“Foi um pouco um efeito de espectador. Eles assumiam ou esperavam que um colega de equipa interviesse e tomasse a iniciativa nesta questão. Ninguém realmente o fez; ninguém se estava a intensificar”, diz Hughes. Foi preciso um alto funcionário a entrar para “sacudi-los do seu choque”. Por outro lado, os chefes de segurança experientes dizem que por vezes são os executivos que congelam, apanhados pelo sentimento de “isto não pode ser verdade” e “isto não nos pode acontecer”. “Estes momentos de congelamento ocorrem frequentemente quando há muito medo, medo de quão mau é, de quanto pode prejudicar [a organização], e quando há muita incerteza”, diz Ed Skoudis, presidente do Instituto de Tecnologia SANS. “Há toda esta informação a chegar, mas as equipas não sabem o que é real ou não e qual é a melhor maneira de o fazer. Há muitas dúvidas. Quando há medo, incerteza, dúvida ou os três, é paralisante”.
Norman Kromberg, CISO da empresa de serviços de cibersegurança NetSPI, viu uma equipa “chegar a um ponto em que as coisas pararam”. Era um líder de segurança numa empresa que declarou um incidente quando uma atividade interna maliciosa foi descoberta. A sua equipa tinha estado a trabalhar “a toda a velocidade, todos no convés” durante quase duas semanas em resposta, com a aplicação da lei, peritos forenses e a companhia de seguros cibernética também a colaborar. Depois a sua equipa bateu numa parede – não estavam a fazer qualquer progresso. “Não pudemos avançar no processo de recuperação”.
Descongelamento
Quando viu a sua equipa presa e deduziu as razões, Kromberg disse a todos para irem para casa. “Estávamos num ponto em que podíamos tirar esse fim-de-semana de folga, e isso incluía não só a nossa equipa, mas também os fornecedores, o departamento jurídico e a aplicação da lei. Tirámos algum tempo de folga e voltámos na segunda-feira renovados. Fomos capazes de avançar rapidamente. Neste sentido, acredita que a experiência o ensinou a planear tais momentos no futuro. Vários peritos concordam que os CISO em todo o mundo devem fazer o mesmo, observando que podem incorporar vários exercícios para ajudar a minimizar a probabilidade de as equipas ficarem paralisadas.
Em primeiro lugar, devem certificar-se do básico. “Os CISO podem tomar várias medidas para evitar que as equipas entrem em modo de congelamento, desenvolvendo planos de resposta a incidentes, treinando equipas de resposta a incidentes, simulando regularmente incidentes, encorajando uma comunicação aberta, tendo uma cadeia de comando transparente, e tendo uma estratégia precisa de gestão de risco e gestão de incidentes”, diz Philip Chan, professor assistente na Escola de Segurança Cibernética e Tecnologia da Informação no campus global da Universidade de Maryland.
Os peritos em segurança também confessam que os CISO devem subsequentemente rever os seus exercícios e acrescentar elementos que possam ajudar as suas equipas a prepararem-se melhor para situações do mundo real.
Preparar para o inesperado
“Mencione várias coisas novas que não estão no livro de jogo”, diz McKeown. Isto pode envolver um trabalhador a fazer deliberadamente um movimento falso, por exemplo, desligando completamente um sistema crítico durante o exercício para que a equipa possa praticar o trabalho em situações inesperadas ou descentralizadas. Tal prática, acrescenta McKeown, constrói agilidade e trabalho de equipa, o que pode ajudar a evitar as acusações e argumentos que frequentemente surgem durante as crises, bloqueando as equipas e impedindo a sua capacidade de avançar rapidamente.
Kromberg conta como uma vez correu um exercício sem aviso prévio após uma festa de Natal numa sexta-feira à hora do almoço. Ele sabia que os hackers sabiam planear os seus ataques quando as corporações poderiam ser as mais vulneráveis, por isso queria que a sua equipa treinasse para tal circunstância. Neste caso, diz que a equipa teve de aprender a mudar rapidamente de velocidade e trabalhar sem pessoas chave que já tinham ido de férias.
McKeown, Kromberg e outros peritos salientam que os CISO e as suas equipas de segurança também ganham memória ao executarem exercícios que refletem o máximo possível as circunstâncias do mundo real. Isto significa começar desde o início, tais como os primeiros avisos, e executar o cenário através de simulações práticas (em vez de uma sessão de treino do tipo mesa ou caminhada). “É mais palpável quando se tem as mãos nos teclados, onde se passa pelos movimentos reais”, diz Hughes, que é também cofundador e CISO de Aquia, uma firma especializada em cibersegurança e serviços profissionais de cloud.
Um relógio em contagem decrescente
Skoudis diz ter usado um relógio em contagem decrescente durante os exercícios, o que também habitua as equipas a trabalhar sob a pressão intensa que sentiriam num incidente real. “É desconfortável, mas queres praticar estar nesse lugar para desenvolver essa memória muscular”, diz ele. Outros também aconselham os CISO a tentar envolver o mesmo número de executivos da empresa, outros departamentos e apoio externo que trabalhariam em conjunto com a segurança, TI e resposta a incidentes para determinar se esses participantes adicionais seriam os que ficariam paralisados. “Poderá ver outras áreas onde as coisas poderiam congelar, tais como se um CEO [relutante] em falar sobre informações financeiras necessárias durante um incidente”, diz Kromberg.
Os CISO devem também considerar como numa verdadeira crise podem criar canais para os trabalhadores encontrarem soluções, diz Thomas Randall, diretor consultor do Info-Tech Research Group e da sua divisão SoftwareReviews: “É preciso assegurar que os seus colegas se sintam suficientemente confortáveis para sugerir uma solução mesmo numa situação stressante”, observa Randall.
Soluções criativas
As equipas podem não ter muito tempo para contemplar ideias durante um incidente real, acrescenta Randall, mas é importante ter algum canal para as oferecer e avaliar em tempo real, uma vez que estas soluções criativas podem ser as que guiam as equipas vezes sem conta. Outro passo que os CISO podem tomar para ajudar a evitar esses momentos de congelamento é contratar trabalhadores com experiência em violações e hacks, ou contratar equipas de resposta a incidentes externos para fazer este trabalho numa base regular. Harper diz que os chefes de segurança não devem subestimar o valor de tal experiência; ele diz que aqueles que trabalharam através de crises desenvolvem uma memória muscular que os mantém calmos e lhes permite guiar os outros através das partes mais difíceis que desconcertam os trabalhadores inexperientes.