Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Segmentação Zero Trust

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
April 15, 2025
23 leitura mínima
Dr. Erik Huffman cyberpsychologist
O ciberpsicólogo Dr. Erik Huffman

“Somente pessoas descuidadas são hackeadas.” É uma crença comum na segurança cibernética. Mas isso é verdade?

O Dr. Erik Huffman, um dos principais especialistas em ciberpsicologia, passou anos pesquisando essa questão. Seu trabalho investiga como o comportamento humano afeta a segurança cibernética e por que os instintos tradicionais de sobrevivência falham em nos proteger on-line.

Suas descobertas? Até os mais preparados são violados.

Em nosso último episódio de O segmento: um podcast de liderança Zero Trust, conversei com Huffman para discutir a realidade dos ataques atuais e por que o Zero Trust é a melhor resposta para a preparação para violações.

Apontar o dedo impede a cibersegurança

De acordo com Huffman, uma das reações mais tóxicas a uma violação é o instinto imediato de culpar os indivíduos.

“Quando um incidente acontece, todo mundo pula para 'Quem fez o que errou? ' em vez de 'Como isso aconteceu e como podemos evitá-lo? '” ele explicou.

Essa cultura da culpa não é apenas contraproducente — está ultrapassada. A realidade é que até mesmo as organizações mais bem equipadas e preocupadas com a segurança sofrem violações.

“100% de segurança não existe”, disse ele. “Se um estado-nação quiser entrar, eles entrarão.”

O foco precisa mudar da culpa para a análise: entender o que aconteceu, aprender com isso e adaptar as defesas.

Os hackers exploram o estresse, não a estupidez

Huffman afirma que o setor gastou muito tempo com a conscientização cibernética e pouco com a preparação cibernética.

“Continuamos dizendo às pessoas o que procurar, mas não as estamos preparando para como reagir sob estresse”, disse ele.

Os cibercriminosos não atacam as pessoas quando elas estão alertas e cautelosas. Eles os atacam quando estão vulneráveis. Quando estão estressados com demissões, correndo para cumprir um prazo ou emocionalmente envolvidos em uma solicitação que parece urgente.

Huffman diz que a chave é entender as vulnerabilidades pessoais. “Precisamos treinar as pessoas não apenas sobre ameaças genéricas, mas sobre as táticas psicológicas específicas que os atacantes usam. Cada pessoa tem gatilhos únicos.”

Espere uma nova onda de ataques alimentada pela IA

A ascensão do Ataques impulsionados por IA só piora esse problema. O áudio e o vídeo do Deepfake já estão sendo usados em ataques cibernéticos, com agentes de ameaças se passando por executivos para autorizar transações fraudulentas.

“O que acontece quando você não consegue mais confiar no que vê ou ouve?” perguntou Huffman. “Estamos entrando em um momento em que 'verificar, verificar, verificar' precisa se tornar algo natural.”

Os líderes de segurança devem se preparar para um mundo em que nem mesmo uma ligação telefônica de um contato conhecido pode ser atendida à primeira vista. Adotando Princípios de confiança zero — e uma mentalidade de Zero Trust em toda a organização — serão cruciais para combater o engano impulsionado pela IA.

Zero Trust é o cinto de segurança organizacional

Então, como passamos da consciência para a preparação?

Huffman sugere estas etapas principais:

  • Avaliação de ameaças: identificar quais vulnerabilidades pessoais um indivíduo tem e como elas provavelmente serão exploradas
  • Avaliação de enfrentamento: desenvolver estratégias de como os indivíduos reconhecerão e responderão às ameaças quando estiverem mais vulneráveis

Preparação significa dar aos funcionários ferramentas práticas para se protegerem, em vez de apenas ensiná-los sobre ameaças de forma abstrata.

“Precisamos parar de assustar as pessoas e começar a empoderá-las”, disse ele. “No momento, a segurança cibernética é como dirigir um carro sem cinto de segurança, esperando que nada de ruim aconteça. Precisamos dar às pessoas seus cintos de segurança cibernética.”

No nível organizacional, o Zero Trust desempenha a mesma função.

“O Zero Trust não se trata apenas de tecnologia. É uma mentalidade”, disse Huffman. “Não é 'confiar, mas verificar' — é 'verificar e depois verificar novamente'”.

Organizações que adotam o Zero Trust junto com o treinamento de preparação cibernética constroem resiliência contra vulnerabilidades humanas e tecnológicas. E no mundo de hoje, resiliência é o nome do jogo.

A jornada da TI à ciberpsicologia

O caminho de Huffman na ciberpsicologia não foi linear.

Depois de se formar em ciência da computação, ele começou sua carreira em TI, corrigindo redes e solucionando problemas de segurança. Mas sua perspectiva mudou drasticamente depois de enfrentar violações de dados consecutivas em primeira mão.

“Eu estava usando todas as medidas de segurança para resolver o problema, mas as violações continuaram acontecendo”, lembrou ele. “Eu tive que me perguntar: se apenas pessoas idiotas são hackeadas, então eu sou estúpido?”

Determinado a encontrar respostas, ele começou a pesquisar e descobriu que mais de 90% das violações de dados envolvem comportamento humano, seja por meio de erro ou engenharia social. Essa constatação o levou à ciberpsicologia, onde, desde então, conduziu estudos com mais de 20.000 participantes e trabalhou com mais de 220 organizações em todo o mundo para preencher a lacuna entre a segurança cibernética e o comportamento humano.

Agora um premiado educador, empresário, palestrante e pesquisador, suas ideias foram compartilhadas na NASA-Goddard, ISACA, TEDx e em outros fóruns importantes. Atualmente, ele é um Colaborador de pesquisa no Instituto Nacional de Padrões e Tecnologia (NIST).

Ouça, assine e analise O segmento: um podcast de liderança Zero Trust

Quer ouvir minha discussão completa com o Dr. Huffman? Ouça o episódio desta semana em Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler um transcrição completa do episódio.

Tópicos relacionados

Resiliência cibernética

Artigos relacionados

Protegendo ativos do governo australiano em 2020: Parte 2
Segmentação Zero Trust

Protegendo ativos do governo australiano em 2020: Parte 2

Na parte 2 desta série, saiba por que as agências governamentais podem implementar a segmentação de rede para alcançar o Zero Trust.

Leia mais
SolarWinds Breach: impulsionando uma mudança de paradigma para a confiança zero
Segmentação Zero Trust

SolarWinds Breach: impulsionando uma mudança de paradigma para a confiança zero

O compromisso da SolarWinds e suas contínuas consequências colocaram em foco a dificuldade de controlar e validar cada ponto de contato que uma empresa tem com suas dependências externas (seja fornecedor, cliente ou parceiro) e enfatizam ainda mais o velho ditado de que “uma cadeia é tão forte quanto seu elo mais fraco”.

Leia mais
O que é importante em um modelo de política para microssegmentação?
Segmentação Zero Trust

O que é importante em um modelo de política para microssegmentação?

De todos os recursos a serem discutidos em uma solução de microssegmentação, a maioria dos fornecedores não começaria com o modelo de política.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais