Erro humano, negligência ou intenção não são a mesma coisa

Bodegón cálido de un organizador de madera con tres sobres, dos de papel kraft iguales y uno distinto, azul con un sello, que resalta de los otros dos.

Erro humano, negligência ou intenção não são a mesma coisa

Erro humano, negligência ou intenção não são a mesma coisa

Quando algo corre mal na segurança, a explicação surge quase sozinha. Foi erro humano. A frase tranquiliza porque fecha o caso antes de o abrir. Também esconde um problema, porque reúne sob o mesmo rótulo situações que pouco se parecem. A pessoa que clica à pressa no fim de um dia longo, a que reutiliza uma palavra-passe porque ninguém lhe ofereceu nada melhor e a que copia uma base de dados na semana antes de se demitir partilham uma palavra e pouco mais. Segundo o Verizon Data Breach Investigations Report, o fator humano continua presente numa proporção ampla das violações analisadas todos os anos. Esse dado costuma ler-se como uma condenação às pessoas. Lê-lo assim é, precisamente, o primeiro erro, e esse é nosso.

A que nos referimos com “erro humano”?

O erro humano é o desvio entre o que uma pessoa quis fazer e o que acabou por acontecer. Definido com essa precisão, deixa de fora boa parte do que costumamos lá pôr dentro. A psicologia do erro trabalha esta distinção há décadas. Em Human Error (1990), James Reason distinguiu as falhas não intencionais, os lapsos e os enganos de quem procurava acertar, das violações, os desvios deliberados de uma norma conhecida. São mecanismos diferentes, com causas diferentes, e por isso exigem respostas diferentes.

O problema prático é que o rótulo “erro humano” apaga essa fronteira. Junta quem se enganou sem dar por isso, quem tomou um atalho consciente e quem agiu para causar dano. Quando o diagnóstico é assim tão grosseiro, o tratamento também o é. E um tratamento grosseiro tende a falhar com os três casos ao mesmo tempo. Pior ainda, esconde a organização por trás da pessoa. Se tudo acaba por ser “erro humano”, nunca se revê o ambiente que tornou provável esse erro.

Em que diferem o erro, a negligência e a intenção?

Convém separar três fenómenos que a conversa do dia a dia confunde.

O erro ocorre quando a pessoa queria fazer o correto e ainda assim falhou. A atenção estava fragmentada, a capacidade de análise esgotada, um viés fez o resto. Não houve qualquer decisão de contornar uma regra. O risco humano nasce aí, antes do clique, nas condições em que alguém decide à frente do ecrã.

A negligência surge quando a pessoa conhecia a norma e escolheu o caminho de menor resistência. Raramente há malícia. Quase sempre há uma organização que pôs a segurança a competir com a tarefa que essa pessoa tem de entregar hoje. Reutilizar uma palavra-passe, adiar uma atualização ou partilhar um acesso “só desta vez” são atalhos que o ambiente torna razoáveis.

A intenção é outra coisa. Aqui a pessoa procura causar dano ou obter proveito. Sabotagem, fraude, roubo de informação antes de uma saída. É uma minoria dos casos, mas existe, e não se corrige com uma boa campanha de sensibilização.

Postos em fila, a diferença vê-se depressa:

  • Erro: queria acertar e falhou. Causas típicas: atenção limitada, carga cognitiva, vieses, pressão temporal.
  • Negligência: sabia a norma e tomou um atalho. Causas típicas: atrito, incentivos do ambiente, hábitos, processos incómodos.
  • Intenção: agiu para obter um benefício ou causar dano. Causas típicas: motivação pessoal, oportunidade, ausência de controlos.

Um mesmo facto pode cair em qualquer das três categorias consoante o contexto. Partilhar uma palavra-passe com um colega é um erro de quem não sabia que era proibido, uma negligência de quem o sabia e preferiu poupar-se ao trâmite, ou o primeiro movimento de uma fraude. A ação observável é idêntica nos três casos. O que muda é a intenção e as condições que a rodearam. Um registo que anota apenas “palavra-passe partilhada” perde essa informação mesmo quando mais falta faz, e deixa quem investiga com um dado que não distingue nada. É essa a diferença entre um painel que acusa e um que explica.

Que intervenção corresponde a cada tipo?

Distinguir serve para algo muito concreto. Cada tipo reduz-se com uma ferramenta diferente, e usar a errada desperdiça o esforço.

O erro trabalha-se redesenhando o ambiente de decisão. Se alguém falha porque a sua atenção estava noutro lado, repetir-lhe a norma não muda nada. O que muda é baixar a carga cognitiva, acrescentar um sinal no momento certo e transformar cada falha numa aprendizagem breve. Os nudges e os momentos educativos atuam sobre este tipo, não sobre os outros dois. Que o phishing não seja um problema de conhecimento é exatamente isto. A pessoa sabe, e ainda assim falha, porque o conhecimento não governa a decisão sob pressão.

A negligência exige reduzir o atrito de fazer o correto e sustentar a responsabilização sem castigo. Se uma palavra-passe única é impossível de memorizar, um gestor de palavras-passe faz mais do que dez lembretes. Se o atalho é a via rápida, a via segura tem de ser também a mais cómoda.

O castigo como intervenção empurra a esconder o erro em vez de o reportar, e uma organização que não fica a saber dos seus incidentes perde a sua melhor fonte de melhoria. Para reduzir a negligência, convém rever que atalhos premeia sem dar por isso, porque quase sempre a conduta insegura é também a mais rápida.

A intenção excede o programa de sensibilização, e convém dizê-lo com todas as letras. Perante alguém decidido a causar dano, o que protege são os controlos técnicos, a gestão de acessos e a capacidade de detetar comportamento anómalo a tempo. É aí que entram a monitorização, os sinais de comportamento que o SIEM não vê por si só e a resposta a incidentes. Pedir a um curso que trave um insider carrega sobre a sensibilização um peso que não lhe cabe. Detetar a tempo um descarregamento massivo de ficheiros ou um acesso fora de horas não é tarefa de uma campanha, mas da correlação entre o que as pessoas fazem e o que os sistemas registam.

Distinguir é uma forma de respeito?

Sim, e é a parte que mais se ignora. Nomear bem o que aconteceu é tratar a pessoa pelo que fez e não pela pior leitura disponível. Confundir alguém sobrecarregado com um sabotador é injusto e também ineficaz. A resposta que o primeiro merece não serve para o segundo. O respeito, neste terreno, é precisão antes de amabilidade.

Essa precisão também serve a quem gere o programa. Um painel que reporta “500 erros humanos” não diz nada acionável. Um que separa as falhas por atenção, os atalhos por atrito e as condutas deliberadas aponta para três planos de trabalho diferentes, com responsáveis diferentes. Distinguir protege também a própria função de sensibilização. Quando lhe é atribuído tudo, incluindo o que não pode resolver, acaba por ser julgada por fracassos que nunca lhe pertenceram, e abandona-se justamente a ferramenta que reduz de facto os erros e as negligências.

Os programas de sensibilização que desenhamos na SMARTFENSE partem desta distinção, porque um conteúdo pensado para o erro não rende o mesmo que uma simulação que mede o comportamento real. O rótulo “erro humano” conforta quem o usa e não ajuda quem o recebe. Começar a nomear bem o que aconteceu é onde começa o trabalho a sério.

Tatiana Stacul

Psicóloga cognitivo-conductual enfocada en comportamiento humano en entornos digitales: estudia cómo la atención, la carga cognitiva y la respuesta emocional al riesgo condicionan la toma de decisiones frente a la pantalla. Colabora con SMARTFENSE en el diseño de contenidos de concienciación en ciberseguridad y divulga sobre ciberpsicología y bienestar digital en Código Calma. Forma parte de Women4Cyber Sweden y Cibervoluntarios.

Deixe um comentário