.
Se você acha que as diretrizes de segurança do computador que você recebe no trabalho são confusas e pouco úteis, você não está sozinho. Um novo estudo destaca um problema-chave de como essas diretrizes são criadas e descreve etapas simples que podem melhorá-las – e provavelmente tornar seu computador mais seguro.
Em questão estão as diretrizes de segurança de computadores que organizações como empresas e agências governamentais fornecem a seus funcionários. Essas diretrizes geralmente são projetadas para ajudar os funcionários a proteger os dados pessoais e do empregador e minimizar os riscos associados a ameaças como malware e golpes de phishing.
“Como pesquisador de segurança de computadores, notei que alguns dos conselhos de segurança de computadores que leio online são confusos, enganosos ou simplesmente errados”, diz Brad Reaves, autor correspondente do novo estudo e professor assistente de ciência da computação na North Universidade Estadual da Carolina. “Em alguns casos, não sei de onde vêm os conselhos ou em que se baseiam. Esse foi o ímpeto desta pesquisa. Quem está escrevendo essas diretrizes? Em que eles estão baseando seus conselhos? Qual é o processo deles? Existe algum maneira que poderíamos fazer melhor?”
Para o estudo, os pesquisadores realizaram 21 entrevistas aprofundadas com profissionais responsáveis por redigir diretrizes de segurança de computadores para organizações, incluindo grandes corporações, universidades e agências governamentais.
“A principal conclusão aqui é que as pessoas que escrevem essas diretrizes tentam fornecer o máximo de informações possível”, diz Reaves. “Isso é ótimo, em teoria. Mas os escritores não priorizam o conselho que é mais importante. Ou, mais especificamente, eles não despriorizar os pontos que são significativamente menos importantes. E como há tantos conselhos de segurança a serem incluídos, as diretrizes podem ser esmagadoras – e os pontos mais importantes se perdem na confusão.”
Os pesquisadores descobriram que uma das razões pelas quais as diretrizes de segurança podem ser tão avassaladoras é que os redatores de diretrizes tendem a incorporar todos os itens possíveis de uma ampla variedade de fontes autorizadas.
“Em outras palavras, os redatores das diretrizes estão compilando informações de segurança, em vez de selecionar informações de segurança para seus leitores”, diz Reaves.
Com base no que aprenderam com as entrevistas, os pesquisadores desenvolveram duas recomendações para melhorar as futuras diretrizes de segurança.
Primeiro, os redatores de diretrizes precisam de um conjunto claro de práticas recomendadas sobre como selecionar informações para que as diretrizes de segurança digam aos usuários o que eles precisam saber e como priorizar essas informações.
Em segundo lugar, os escritores – e a comunidade de segurança de computadores como um todo – precisam de mensagens-chave que façam sentido para o público com vários níveis de competência técnica.
“Veja, a segurança do computador é complicada”, diz Reaves. “Mas a medicina é ainda mais complicada. No entanto, durante a pandemia, os especialistas em saúde pública foram capazes de fornecer ao público orientações bastante simples e concisas sobre como reduzir nosso risco de contrair COVID. Precisamos ser capazes de fazer o mesmo com a segurança do computador .”
Por fim, os pesquisadores descobriram que os redatores de conselhos de segurança precisam de ajuda.
“Precisamos de pesquisas, diretrizes e comunidades de prática que possam apoiar esses escritores, porque eles desempenham um papel fundamental em transformar descobertas de segurança de computadores em conselhos práticos para aplicação no mundo real”, diz Reaves.
“Também quero enfatizar que, quando há um incidente de segurança de computador, não devemos culpar um funcionário porque ele não cumpriu uma das mil regras de segurança que esperávamos que ele seguisse. Precisamos fazer um trabalho melhor na criação de diretrizes fáceis de entender e implementar.”
Mais informações: https://www.usenix.org/conference/soups2023/presentation/neil
.
