O processo de encorajar hábitos cibernéticos seguros em usuários finais está evoluindo do treinamento de conscientização tradicional para a mudança de comportamento do usuário final. Isso reflete uma aceitação crescente de que os métodos tradicionais não funcionaram.
O treinamento da consciência teve um começo nada sofisticado. “Mouse pads e canecas de café com os dizeres: ‘Não podemos soletrar SEC _ RITY sem ‘U’”, lembra Timothy Morris, principal consultor de segurança da Tanium. Essa abordagem melhorou com as equipes de segurança enviando manualmente e-mails de phishing simulados aos funcionários e melhorou ainda mais com produtos de fornecedores que automatizam, dimensionam e avaliam o processo.
A abordagem mais recente agora tenta usar a neurociência para moldar uma boa resposta automática do usuário a qualquer coisa phishing. Enquanto a conscientização de segurança tradicional ensina os usuários a reconhecer a engenharia social, a nova mudança de comportamento treina o cérebro – quase o pré-programa – no reconhecimento correto e na resposta ao phishing.
Hoxhunt pertence a esta escola de segurança do usuário. Seu último relatório (PDF) se concentra em como a mudança de comportamento funcionou nas indústrias críticas. Ele é compilado a partir de uma análise de mais de 15 milhões de simulações de phishing e ataques de e-mail reais relatados em 2022 por 1,6 milhão de pessoas (todas participando de um programa de mudança de comportamento de segurança). A principal conclusão é que os funcionários em indústrias críticas são particularmente receptivos à metodologia de mudança de comportamento da Hoxhunt.
A ciência por trás da plataforma Hoxhunt pode ser relacionada aos princípios descritos pelos ‘Tiny Habits’ do professor adjunto de Stanford, BJ Fogg. Baseia-se em ‘cutucadas’ curtas, frequentes e positivas controladas por uma plataforma de IA que adapta o programa para fornecer caminhos de aprendizado altamente personalizados para usuários individuais.
“A Airbus é um bom exemplo de nossa escala”, explica Jeff Platon, CMO da Hoxhunt. “Tem 438 mil funcionários. Eles têm 438.000 caminhos de aprendizagem individuais que foram construídos pela plataforma Hoxhunt. E acho que conduzimos cerca de 65 milhões de momentos de aprendizagem diferentes.”
O processo é baseado em ‘micromomentos de aprendizagem’ repetidos (levam entre 60 e 90 segundos) que são entregues como reforço positivo em uma experiência gamificada. A neurociência demonstra que tal processo altera as sinapses (a junção de diferentes células nervosas) dentro do cérebro. O resultado é a mudança de comportamento.
Enquanto o treinamento de conscientização tradicional visa ensinar os usuários a reconhecer um phishing, a mudança de comportamento ensina o reconhecimento e a resposta automática correta. Onde o treinamento da consciência luta para superar as limitações de memória e foco do cérebro humano – descrito neste contexto por Bec McKeown, fundador e psicólogo principal da Mind Science, como ‘um processador de informações de capacidade limitada’ – a mudança de comportamento ocorre no reconhecimento e resposta corretos , eliminando a dependência de memória e foco impostos externamente. Reconhecer e responder corretamente ao phishing torna-se algo como a mítica memória muscular do cérebro.
“O envolvimento baseado em comportamento com e-mails de phishing”, sugere Krishna Vishnubhotla, vice-presidente de estratégia de produto da Zimperium, “é melhor do que os cursos de segurança tradicionais, pois o prepara melhor para reconhecer um ataque. Torna-se uma segunda natureza denunciá-lo, especialmente quando se trata de aprendizagem adaptativa gerada por IA.”
A análise da Hoxhunt se concentra nas indústrias críticas que usam sua plataforma. Ele descobre que a detecção de ameaças reais é executada em 65,6% em CI em comparação com uma média global de 60%. A taxa de sucesso em IC é melhorada em 31% em comparação com a média global de 7%. A taxa de falha é reduzida em 65% em comparação com uma redução média global de 13,2%.
Hoxhunt resume esses números com o que chama de taxa de resiliência. “Vemos infraestrutura crítica superando as médias globais. Achamos que isso é melhor representado, pois eles são cerca de 50% maiores do que a média global”, disse Platon. Este é o índice de resiliência. “É a capacidade de detectar com sucesso um ataque real dividida pela taxa de falha – e a infra-estrutura crítica tem desempenho de 10,9 contra 7,2 da média global. Então, 51% melhor é significativo.”
A única mancha no desempenho do CI são as comunicações organizacionais internas falsificadas, onde o desempenho do CI é uma taxa de falha 11,4% maior do que a média global.
Embora seja provável que a taxa geral de sucesso na mudança de comportamento nas indústrias críticas seja um tanto distorcida pelas pressões de uma maior regulamentação externa e pela consciência do aumento das tensões geopolíticas, esse sucesso só pode ser bem-vindo. A mudança de comportamento parece ser o próximo passo lógico para endurecer o usuário.
A Hoxhunt, com sede em Espoo, na Finlândia, foi fundada em 2016 por Mika Aalto (CEO) e Pyry Avist (CTO).