Agilidade cognitiva das equipes de segurança cibernética é baixa

Um novo estudo se propôs a avaliar a capacidade humana, não apenas técnica, das equipes de cibersegurança nas empresas, considerando o conhecimento, as competências e o discernimento aplicados a mais de meio milhão de exercícios e simulações realizados por de 2.100 organizações nos últimos 18 meses. O relatório Cyber Workforce Benchmark 2022, da Immersive Labs, revelou que, em média, são necessários mais de três meses (96 dias) para desenvolver tal capacidade para se defender contra ameaças cibernéticas.

“Dados levantados pelo estudo sobre o intervalo de tempo entre o surgimento de ameaças e a reação contra elas mostram a necessidade acelerar o desenvolvimento de capacidade humana no campo cibernético nas grandes organizações. Sem isso, as pessoas estarão possivelmente tomando decisões baseadas em ideias preconcebidas inúteis”, afirma Rebecca McKeown, diretora de Ciências Humanas do Immersive Labs e ex-psicóloga militar.

Para a executiva, a cibersegurança apresenta um desafio único para humanos em termos de desenvolvimento de habilidades. Apresentar respostas em um espaço de batalha híbrido, com características do mundo real e do digital sempre em mudança, faz com que o desenvolvimento contínuo de competências seja crucial para construir o que se chama de agilidade cognitiva.

Conforme a pesquisa, Infraestrutura e Transporte foram os dois setores que se mostraram mais morosos, levando mais de quatro meses (137 dias), em média, para garantir o desenvolvimento das habilidades adequadas após o surgimento de uma ameaça. Em comparação, os órgãos nacionais de cibersegurança recomendam que as infraestruturas técnicas sejam corrigidas em dias ou, em alguns casos, em horas. Por exemplo, a Agência Ffederal de Segurança Cibernética dos Estados Unidos (CISA), afirma que as vulnerabilidades devem ser corrigidas dentro de 15 dias corridos após a detecção inicial.

A violação associada ao Log4j foi exceção à regra, visto que equipes de cibersegurança desenvolveram capacidade de reação em apenas dois dias. Essa exceção tem a ver com outra revelação do estudo. Equipes de cibersegurança priorizam o desenvolvimento de conhecimento, competências e discernimento contra grupos de ameaças que chamam mais a atenção. Os cinco principais grupos de interesse, em ordem, são UNC2452 (SolarWinds), Iranian Threat Groups, Fin 7, Hafnium e Darkside. Quando se trata desse grupos, o desenvolvimento das capacidades é significativamente mais rápido. No caso do caso SolarWinds, por exemplo, a reação foi quase oito vezes mais rápida do que a média.

A frequência com que as organizações realizam exercícios de resposta a crises cibernéticas varia significativamente entre setores de atividade. Depois de analisar mais de 6.400 decisões de resposta a crises, o estudo mostrou que as empresas da área de tecnologia e serviços financeiros se preparam mais para ataques cibernéticos, realizando nove e sete exercícios por ano, respectivamente. Organizações no setor de infraestrutura crítica são as que menos se preparam, com apenas um exercício por ano.

Ransomware é a principal causa de incerteza para as equipes responsáveis por resposta a crises. Sete dos 10 principais cenários de crise que demonstrara menos confiança para reagir estão associados a esse tipo de ameaça.

Equipes que trabalham com segurança de aplicativos desenvolvem recursos humanos no campo cibernético mais rapidamente do que equipes de cibersegurança. Ao analisar 43.000 exercícios práticos de segurança de aplicativos, a pesquisa identificou que 78% foram concluídos mais rápido do que o esperado, em comparação com a parcela de apenas 11% nos laboratórios de cibersegurança. Em média, o exercício de segurança de aplicativos foi concluído 2,5 minutos abaixo do tempo total previsto, enquanto nos laboratórios de cibersegurança cibernética, foram 17 minutos a mais do que o esperado.

Apontando para um possível problema futuro, dos 176.000 exercícios concluídos por estudantes universitários e outros grupos que buscam uma carreira em cibersegurança, as habilidades de segurança de aplicativos tiveram menor taxa de engajamento – um quarto das habilidades ofensivas de segurança cibernética. Dado que software inseguro foi uma das principais causas das maiores invasões vistas em 2021, é quase certo que o problema se agravará futuramente.

Visão psicológica

Sob uma visão psicológica, somente realizando exercícios regulares as equipes de resposta a crises conseguirão desenvolver conscientemente a capacidade de fazer conexões entre decisões anteriores e como aplicá-las, ou não, durante um incidente. Crises em andamento não é o momento para aprender. Esse é um princípio central da agilidade cognitiva.

Segundo o Immersive Labs, a tendência das equipes de cibersegurança é se concentrar na execução, e existe nesse campo efeitos psicológicos em jogo. Como qualquer profissional em grandes organizações, os membros dessas equipes estão em busca de reconhecimento de seus superiores e possam ver na ‘execução’ de processos contra ameaças um caminho mais rápido para obtê-lo.

Aqueles responsáveis por dar respostas em crises precisam desenvolver agilidade cognitiva, que é a capacidade de “pensar sobre o pensamento”, estabelecendo distância do impulso de agir e controlar conscientemente a tomada de decisões em vez de reagir automaticamente. Na prática, desenvolve-se essa habilidade ao longo do tempo, expondo-se continuamente a exercícios frequentes e descartando ideias preconcebidas.