Se você já ficou confuso com as instruções de segurança do computador fornecidas em seu local de trabalho, você não está sozinho. Um estudo recente destaca uma questão fundamental no desenvolvimento destas directrizes e sugere medidas imediatas para melhorá-las – melhorando potencialmente a segurança informática.
As preocupações envolvem os protocolos de segurança informática que as empresas e as agências governamentais fornecem aos seus funcionários, concebidos para orientar os funcionários na proteção de dados pessoais e organizacionais contra perigos como malware e ataques de phishing.
“Como pesquisador de segurança de computadores, percebi que alguns dos conselhos de segurança de computadores que leio on-line são confusos, enganosos ou simplesmente errados”, disse Brad Reaves, autor correspondente do novo estudo e professor assistente de ciência da computação na Universidade de Harvard. "Em alguns casos, não sei de onde vêm as recomendações ou em que se baseiam. Esse foi o ímpeto para este estudo. Quem está redigindo essas diretrizes? Em que se baseiam suas recomendações? Qual é o seu processo? Há algo que possamos fazer melhor?"
Para o estudo, os pesquisadores realizaram 21 entrevistas em profundidade com profissionais responsáveis pela redação de guias de segurança de computadores para organizações como grandes empresas, universidades e agências governamentais.
“A principal conclusão aqui é que as pessoas que escrevem estas diretrizes tentam fornecer o máximo de informações possível”, disse Reaves. "Em teoria, isto é óptimo. Mas os autores não dão prioridade às recomendações mais importantes. Ou, mais especificamente, não desvalorizam os pontos menos importantes. Com tantas recomendações de segurança a incluir, as directrizes podem tornar-se esmagadoras, e os pontos mais importantes perdem-se na confusão."
Os pesquisadores descobriram que uma das razões pelas quais as diretrizes de segurança são tão esmagadoras é que os redatores das diretrizes tendem a incorporar todos os itens possíveis de uma variedade de fontes confiáveis.
“Em outras palavras, os redatores das diretrizes estão compilando informações de segurança em vez de fazer a curadoria de informações de segurança para os leitores”, disse Reeves.
Com base no que aprenderam nas entrevistas, os pesquisadores fizeram duas recomendações para melhorar as futuras orientações de segurança.
Primeiro, os redatores das diretrizes precisam de um conjunto claro de melhores práticas sobre como gerenciar informações, para que os guias de segurança digam aos usuários o que eles precisam saber e como priorizar essas informações. Em segundo lugar, os escritores e toda a comunidade de segurança informática precisam de informações críticas que sejam significativas para públicos com níveis variados de capacidade técnica.
“Olha, a segurança do computador é complicada”, disse Reeves. "Mas a medicina é mais complexa. No entanto, durante a pandemia, os especialistas em saúde pública conseguiram fornecer ao público orientações bastante simples e concisas sobre como reduzir o risco de contrair a COVID-19. Precisamos de ser capazes de fazer o mesmo em relação à segurança informática."
No final das contas, os pesquisadores descobriram que os redatores de conselhos de segurança precisavam de ajuda.
“Precisamos de investigação, orientação e de uma comunidade de prática que possa apoiar estes autores porque eles desempenham um papel crítico na tradução das descobertas de segurança informática em recomendações práticas para aplicações do mundo real”, disse Reeves. "Também quero enfatizar que quando ocorre um incidente de segurança informática, não devemos culpar os funcionários porque não seguiram uma das milhares de regras de segurança que esperamos que sigam. Precisamos de fazer um trabalho melhor no desenvolvimento de directrizes que sejam fáceis de compreender e implementar."