O risco humano em cibersegurança começa antes do clique

Porque é que clicámos se sabíamos que não devíamos? Essa pergunta chega antes do incidente, mais cedo do que costumamos recordar. Fá-la quem acabou de cair num e-mail de phishing e também a equipa de segurança que de manhã revê o relatório. É a pergunta a que a ciberpsicologia tenta responder sem a dose de culpa que costuma vir associada. Porque o risco humano em cibersegurança nasce noutro sítio. Nasce no modo como as pessoas decidem quando olham para um ecrã, sob pressões que a lógica do incidente raramente regista.

O que é o risco humano em cibersegurança?

Defini-lo com precisão muda a forma de o abordar. O risco humano em cibersegurança é a probabilidade de que uma decisão humana, tomada sob restrições de atenção, carga cognitiva e resposta emocional ao risco, conduza a um evento que comprometa a confidencialidade, a integridade ou a disponibilidade de um sistema. Esta definição separa o risco humano do erro humano genérico e da simples soma de falhas individuais. Trata-o como um fenómeno comportamental que ocorre dentro de um ambiente técnico que, quase sempre, foi desenhado a pensar nas máquinas antes das pessoas.

A definição tem três componentes operacionais. A atenção orienta que informação chega ao sistema cognitivo em cada instante. A carga cognitiva determina quanta capacidade analítica resta disponível para avaliar algo novo. A resposta emocional ao risco modula a velocidade e a direção da decisão final. Quem decide à frente do ecrã está a empurrar essas três alavancas o tempo todo, sem as ver. A função de um programa de sensibilização maduro é torná-las visíveis, não lembrar à pessoa que “tem de estar mais atenta”.

Porque é que falha quem sabe perfeitamente o que tem de fazer?

O paradoxo repete-se em cada questionário de segurança. As pessoas sabem o que não deve fazer-se. Sabem que não se reutiliza a mesma palavra-passe, que um domínio estranho merece um segundo olhar, que um pedido urgente de transferência do CEO precisa de uma confirmação por outra via. Quando chega o momento do clique, acontece na mesma. A pergunta útil muda de ângulo. Importa perceber porque é que sabê-lo não chega.

A psicologia cognitiva oferece três ângulos para o olhar. O primeiro é a atenção seletiva. O cérebro filtra a maior parte da informação que perceciona e dá prioridade ao que considera relevante para a tarefa em curso. Quando alguém vê o e-mail durante uma reunião, a sua atenção está fragmentada e os marcadores de fraude que exigem análise fina ficam fora do foco. O estranho torna-se invisível.

O segundo é a carga cognitiva. Cada decisão consome recursos mentais. Um dia de trabalho exige centenas de microdecisões que deixam pouca margem para análises adicionais. O e-mail suspeito chega às 17:40, ao fim de uma semana intensa. A capacidade analítica está esgotada e a pessoa escolhe o caminho de menor esforço cognitivo, que muitas vezes é confiar.

O terceiro ângulo é o viés. O viés de otimismo leva a pensar que o ataque vai acontecer a outra organização. O viés de autoridade aumenta a obediência perante um remetente que parece hierárquico. O viés de urgência encurta os tempos de avaliação quando a mensagem ameaça uma perda imediata. Os atacantes não inventaram estes vieses. Conhecem-nos muito bem e exploram-nos com eficiência industrial. Trabalhar o risco humano sem compreender estes mecanismos é operar com olhos vendados.

Porque é que a regulamentação europeia hoje aponta ao fator humano?

Durante anos, a regulamentação concentrou-se nos controlos técnicos. As iterações mais recentes começaram a tratar o fator humano como mais um sistema, com os seus requisitos de avaliação, formação e melhoria contínua. A Diretiva NIS2 refere explicitamente a formação em ciber-higiene do pessoal e a responsabilidade da direção pela sua eficácia. A DORA, no setor financeiro, reforça a mesma ideia com um nível adicional de exigência sobre a ciber-higiene operacional das pessoas que tocam processos críticos.

O motivo é estatístico antes de filosófico. Segundo o Verizon Data Breach Investigations Report, nas suas edições recentes, o fator humano permanece presente numa larga maioria das brechas analisadas, seja por erro, por engenharia social ou por uso indevido de credenciais. A regulamentação atualizou-se porque os dados não deixam margem para tratar o fator humano como variável secundária.

O que é interessante é a mudança de enquadramento. A NIS2 não exige que as pessoas deixem de se enganar. Exige que a organização demonstre que está a trabalhar sistematicamente sobre o comportamento, que mede o efeito desse trabalho e que a direção assume a responsabilidade pelos resultados. Para quem lidera o programa de sensibilização, isto desloca o debate de “cumprir a formação anual” para “evidenciar mudança de comportamento mensurável”.

Como se reduz o risco humano sem culpar as pessoas?

Reduzir o risco humano exige redesenhar o ambiente em que as pessoas decidem. A ciência do comportamento oferece quatro intervenções com evidência consistente.

A primeira é a continuidade. O conhecimento sobre segurança envelhece depressa e os hábitos precisam de reforço periódico. Um programa anual que entrega todo o conteúdo numa só semana não compete com a curva do esquecimento. A sensibilização contínua distribui estímulos breves ao longo do ano e aproveita a repetição espaçada, um dos resultados mais sólidos da psicologia da aprendizagem.

A segunda são os nudges e momentos formativos. Um nudge bem desenhado atua mesmo no instante da decisão. Uma etiqueta que avisa “este e-mail vem de fora da organização” ou um microconteúdo que aparece depois de um clique numa simulação muda a arquitetura da escolha sem restringir a liberdade de quem decide.

A terceira é a simulação ética. Uma simulação de phishing traz valor quando é desenhada como instrumento de aprendizagem, com um propósito formativo claro desde o primeiro envio. As métricas que contam são a curva de reporte, a redução do tempo de deteção e a mudança sustentada ao longo do tempo. Saber se o programa está a medir o que importa continua a ser uma das decisões mais maduras de quem gere o programa.

A quarta é a cultura. As pessoas herdam os hábitos do seu ambiente. Uma equipa onde reportar um erro é tratado como contributo apresenta um nível de reporte muito diferente do de uma equipa onde o erro é castigado. A cultura constrói-se com práticas pequenas e consistentes, sustentadas pelo exemplo da direção. Nenhum decreto a fabrica.

Plataformas de sensibilização como SMARTFENSE integram estes quatro princípios em programas pensados para a América Latina e Espanha, com conteúdo nativo em espanhol, cobertura regulamentar regional e um design que coloca a pessoa no centro da decisão. A ciberpsicologia sustenta a arquitetura do programa de sensibilização, longe de qualquer papel meramente cosmético.

O que se segue quando deixamos de culpar as pessoas

Quem decide à frente do ecrã é, na verdade, o melhor sensor que a organização tem. É a linha de deteção mais próxima do ataque e a fonte de informação mais rica sobre como opera o adversário. O risco humano trabalha-se, compreende-se e desenha-se para que a decisão correta passe a ser também a mais provável. Eliminá-lo não está no menu.

Na próxima vez que surgir a pergunta “porque é que clicámos se sabíamos que não devíamos?”, talvez possamos substituí-la. A pergunta útil passa a ser outra. Quais eram as condições de atenção daquela pessoa naquele instante? Que carga cognitiva trazia consigo? Que emoção a empurrou a decidir depressa? Responder com honestidade é o ponto de partida do trabalho sério sobre o risco humano. Para aprofundar enquadramentos, ferramentas e experiências de programas de sensibilização, o centro de recursos da SMARTFENSE mantém uma coleção aberta.