retornar retornar
Descodificação de ameaças cibernéticas para 2023

POR:
Mariano E Quintana

COMPARTILHAR

Twitter Facebook Linkedin
Referências
EM GERAL Abril 20 23  •  50' LEITURA

Design Thinking aplicado à segurança cibernética

Uma das maneiras mais eficientes de criar inovação é fazer isso junto com os usuários. Eles são a pedra angular de qualquer melhoria em uma organização, com relação a qualquer modificação ou desenvolvimento que queiramos implementar. As mudanças ocorrem o tempo todo e, em geral, as pessoas tendem a ter uma resistência acentuada a elas, não porque não queiramos nos adaptar facilmente, mas porque isso mostra que temos dificuldade de pensar em equipe, de trocar ideias ou de aceitar uma nova ideia de um colega.
É verdade que algumas pessoas são mais tolerantes a diferentes tipos de mudança, mas, independentemente do julgamento dessa questão, sempre tendemos a apontar o dedo para a outra pessoa quando identificamos resistência.

¿Por que esses problemas ocorrem na vida social e por que a resistência à mudança é tão forte?

Se fôssemos definir "Resistência à mudança", normalmente a entenderíamos como uma atitude negativa em relação à mudança, assumindo as consequências de tal mudança e a recusa em apoiar sua implementação no esquema que usamos no dia a dia. A maioria das pessoas tende a não querer considerar que o estado atual deva ou possa ser mudado, pois está ancorada na satisfação atual resultante das respostas que potencialmente relatam atitudes positivas em relação ao seu próprio trabalho, de modo que o consideram correto. Como resultado, eles não querem correr o risco de mudar, e é aí que a sensação de risco se torna um risco real que, dependendo da disciplina, pode ou não ter consequências importantes. Se nos referirmos à segurança cibernética, estaremos falando das consequências da resistência dos usuários à mudança diante de uma política de segurança ou de um novo procedimento para lidar com informações, o que pode ter consequências catastróficas.

Mas nem toda a culpa é do usuário final e de sua resistência. Estamos focados na "árvore" e essa "árvore" cobre uma floresta de possibilidades para nos fazer entender melhor. Normalmente, em nossa gestão diária como profissionais de segurança cibernética, o usuário nos coloca no lado oposto da rua. Porque podemos ter o perfil de observar constantemente o que eles fazem e avaliar a maneira como os usuários tratam as informações da organização à qual pertencem.

Entre as razões que ocorrem quando se trata de entender essas questões, encontramos esses pontos importantes a serem observados. De acordo com o site Prosci existem várias causas relacionadas à resistência à mudança, mas entre elas podemos destacar as seguintes:

 •  Falta de conscientização sobre o motivo da mudança
 •  Mudanças no local de trabalho
 •  Medo do desconhecido
 •  Falta de apoio ou confiança nos líderes
 •  Exclusão de decisões relacionadas à mudança

Se pensarmos nesses fatores principais e pararmos de culpar o usuário pela má administração ou pela incompreensão dos conceitos e nos concentrarmos em resolver alguns dos pontos mencionados acima, talvez consigamos acabar com essa resistência a tempo e fazer com que a mudança seja aceita.

Uma das coisas que fazemos em segurança de computadores é aumentar a conscientização sobre os motivos, mas, ao longo do caminho, além de nos esforçarmos muito com infográficos, vídeos, treinamento, obrigatórios, regulamentações forçadas e um longo etc., esquecemos de apoiar constantemente o usuário, para tirar seus medos e, assim, poder incluí-lo nas decisões que se tornam críticas, dependendo do ambiente em que são tratadas, conforme explicamos no parágrafo anterior.

Design Thinking

É aí que entra o Design Thinking para nos ajudar, ou melhor, o que precisamos para fazer com que o usuário faça a travessia. Esse método nos permitirá sentar com o usuário para implementar as novas mudanças, obtendo novas pistas sobre como incorporar os conceitos e como melhorar a comunicação no dia a dia para que os conceitos que precisamos incorporar aconteçam organicamente e se estabeleçam em suas mentes, eliminando o máximo de resistência possível.

Para entender esse método, vamos fazer um exercício: o que veio primeiro, o usuário ou a nova ideia? Essa ideia pode ser tão longa quanto a pergunta: o que veio primeiro, a galinha ou o ovo?



Se mergulharmos nesse ciclo, acabaremos com uma falta de ideias quando se trata de gerar conscientização, porque culpamos uns aos outros e, enquanto isso, o acúmulo de problemas fica sobrecarregado, deixando-nos completamente saturados em nosso trabalho diário e com nossa paciência no limite. Então, tudo isso se traduz na seguinte frase: tenho uma ideia inovadora (ou uma necessidade de implementar um novo processo), eu a imponho ou primeiro analiso o usuário, identifico como ele se sente mais confortável e elaboro uma estratégia de implementação para que tudo aconteça com o mínimo de atrito possível? Em resumo, é criar para o usuário ou criar junto com o usuário. Impor algo ou conseguir uma aceitação orgânica dessa mudança.

Como parte de qualquer processo de inovação, é essencial incluir as partes interessadas desde o início, a fim de entender quais mecanismos devem ser usados. O Design thinking, em particular, é uma metodologia de inovação ágil centrada no usuário. Ela é composta pelas seguintes etapas: EMPATIA, DEFINIÇÃO da ideia, PROTÓTIPO e TESTE;

Se pensarmos nisso em termos de nossa linguagem, estaremos aplicando uma metodologia de ataque contra a resistência à mudança, descobrindo quais são as possíveis vulnerabilidades. Em toda a anatomia do ataque, descobrimos que ele segue uma estrutura semelhante à que precisamos aplicar. No caso da linguagem de segurança de computadores, encontramos os estágios de Descoberta e Escaneo, Varredura, Enumeração, Obtenção de Acesso e Persistência:

 •  EMPATÍA(descoberta e varredura): Entenda o usuário, identifique os pontos problemáticos, combine-os com o que queremos aplicar, em resumo, faça uma descoberta dos vetores de ataque que temos em relação aos interesses do usuário.

 •  DEFINIÇÃO DA IDEIA (Enumeração): Com base nos interesses do usuário pesquisados, tente identificar quais são os principais pontos a serem atacados. Depois disso, são obtidas as informações mais concretas.

 •  PROTOTIPO (Tentativa de obter acesso): Por meio da materialização, estamos criando um canal confiável aprovado pelo usuário para implementar a mudança. O jogo é aberto para possíveis ideias e, em seguida, a melhor opção é escolhida.

 •  TESTES (Persistência): Testar constantemente a estratégia para que essa mudança seja assimilada com a organicidade necessária e com o mínimo de atrito possível, até que ocorra a adaptação correspondente. A ideia é concretizada.

Ao longo desse processo de implementação do método de Design Thinking, devemos estar cientes de quais são os melhores caminhos de acordo com a disciplina com a qual lidamos, pois cada nova ideia a ser implementada trará consigo sua respectiva complexidade. Uma boa maneira de entender esse método é por meio de um modelo de diamante duplo, como o que vemos abaixo:



Como pode ser visto no gráfico, há um processo de compreensão em que há uma expansão, seguida de uma síntese para manter o(s) ponto(s) de maior interesse, depois o jogo é aberto para explorar novamente e, por fim, a solução é projetada e testada para refiná-la e aperfeiçoá-la o máximo possível.

Nossas ferramentas

Existem várias metodologias para abordar os usuários, cada etapa tem a sua própria de acordo com as questões que precisamos implementar:

 •  EMPATIZAR: Grupos de foco, escuta ativa das pessoas envolvidas.

 •  ⦁ Mapa de partes : interessadas: o mapa de partes interessadas é uma ferramenta usada para identificar as pessoas, as entidades e as administrações envolvidas em um negócio ou sistema, bem como as relações estabelecidas entre cada uma delas. É uma ferramenta amplamente usada nos processos de Design Thinking, que tem origem nas ciências sociais. Um mapa de partes interessadas é dividido em 4 círculos, nos quais as partes interessadas pertencentes às seguintes categorias são integradas:

 •  Usuário: ele é colocado no círculo central, o menor. O mapa se baseia nele e nas relações que ele estabelece com os atores posicionados nos outros círculos.

 •  Atores internos: são colocados no círculo mais próximo do círculo central. Nesse círculo, você terá de colocar os atores que interagem o mais diretamente possível com o usuário.

 •  Atores externos: aqueles cujo relacionamento com os atores internos torna possível a produção ou a entrega do produto ou serviço ao usuário. Eles são colocados no segundo círculo

 •  Administrações públicas: entidades públicas que se relacionam direta ou indiretamente (por meio de outros atores) com o usuário.


 • Grupos de discussão: O Grupo de foco ou grupo de discussão é um método de pesquisa qualitativa no qual um grupo de informantes de um determinado perfil é reunido. O objetivo do Focus Group é que esses informantes participem dando suas opiniões e respondendo a perguntas sobre um tópico, produto ou serviço. As informações obtidas em um Focus permitem que a empresa que o realiza tenha uma ideia mais aproximada do que pensa o conjunto de usuários que os participantes do Focus representam.

 •  Imersão cognitiva: a imersão cognitiva é uma dinâmica do Design Thinking projetada para experimentar o que um usuário experimenta em uma situação específica.

Por exemplo: vamos imaginar que queremos implementar uma nova política de senhas supercomplexa. A imersão cognitiva consiste em experimentá-la primeiro para entender como as pessoas vivenciarão essa mudança.


 •  World Café: Serve para inspirar conversas significativas entre um grupo específico de pessoas. Os principais objetivos de um World Café incluem os seguintes:

 •  Facilitar um espaço para conversação
 •  Incentivar a participação de todos
 •  Geração de condições inspiradoras
 •  Coletar destaques
 •  Dar continuidade a esse processo com outras reuniões

 •  Observação encoberta: consiste basicamente em observar um grupo de pessoas sem que elas percebam, evitando intervir em seu comportamento.

 • BenchMarking: técnica de pesquisa qualitativa, o conceito se concentra na qualidade, concentrando-se também na observação.

 •  Os 5 Porquês: o objetivo dessa ferramenta é aprender a puxar o fio da meada em uma entrevista, o que ocorre quando se compartilham descobertas e/ou reflexões em uma equipe. Para aplicá-la, basta perguntar: Por quê? Depois de cada resposta, um total de 5 vezes.

 •  DEFINIR: Podemos utilizar las siguientes técnicas y herramientas que nos permitirán cruzar nuestros intereses con los de los usuarios.

 •  Mapa mental: um mapa mental é uma ferramenta gráfica representada na forma de um esboço. Ele nos permite mostrar visualmente diferentes conceitos e suas diferentes relações com os elementos que os compõem. Ele tem sido amplamente usado como ferramenta de aprendizado e pode ser muito útil em um processo de design.

 •  Saída e entrada: com a ferramenta Saída e entrada, teremos a oportunidade de excluir informações da coleção. E manter o que achamos que será relevante para encontrar insights valiosos nesse sentido. Uma maneira prática é colocar um pedaço de papel, desenhar um círculo e colocar as coisas fora ou dentro dele com base em seu grau de relevância.

 •  Saturar e agrupar: Seu objetivo, acima de tudo, é ajudá-lo a organizar as informações visualmente e torná-las acessíveis. Um bom número de post-its, uma parede, paciência e capacidade de síntese.

 •  Diagrama de Ishikawa: O diagrama de Ishikawa é uma ferramenta simples, inventada pelo químico industrial japonês Kaoru Ishikawa. Ele surgiu como resultado de um diagrama de causa e efeito desenhado por esse especialista em controle de qualidade. Nele, ele reuniu, em uma forma visual muito simples, todas as causas que acabaram dando origem a problemas em um processo. As causas fazem parte do esqueleto do processo e o efeito está no topo dele.



 •  IDEALIZAR:Padrões, políticas, estratégias de implementação, planejamento

 • Brainstorming: o principal objetivo é encontrar o maior número possível de ideias para responder a um desafio específico. Sempre que tivermos a oportunidade, devemos aproveitar as ideias que os outros estão dizendo, para evitar que elas sejam fechadas. Gerar um efeito estimulante sobre elas.

 • Brainwriting: Brainwriting é uma mistura de dois termos. Brain (cérebro) e Writing (escrita). Assim, o processo envolve os participantes pegando uma folha de papel e começando a escrever. Deixando, como em um processo de brainstorming, que as ideias fluam com força..

 • Drawstorming: Ao contrário da crença popular, todos nós temos uma capacidade maior de desenhar do que pensamos. E fazer isso ativa áreas do cérebro diferentes das que muitos de nós estamos acostumados. Drawstorming significa "tempestade de desenhos".

 •  REFINAMENTO/PROTOTIPAGEM: Teste o que foi planejado na etapa anterior da maneira menos perturbadora possível.

 •  Value Proposition Canvas: O Value Proposition Canvas é um modelo criado para alinhar as necessidades de um conjunto de usuários com as características das mudanças que vamos oferecer a eles. Ele reflete a ideia final da mudança a ser implementada

Aplicação à segurança cibernética.

Tendo visto essas técnicas, elas poderiam ser aplicadas à segurança cibernética, considerando que somos uma área que precisa melhorar constantemente a infraestrutura e as mudanças em um determinado ambiente? Como poderíamos transferir esse mesmo método?

Para entender isso, devemos compreender que pensar em segurança pode implicar inovar em relação aos hábitos com os quais os usuários, desenvolvedores e técnicos lidam com os ativos mais importantes da empresa. Portanto, isso sempre implica uma mudança cultural na maioria dos casos, em que temos de prestar atenção especial a coisas que foram ignoradas antes.
Embora existam vários casos de uso, como corrigir uma falha, implementar uma nova política, penalizar o uso indevido de informações, conscientizar os usuários, desenvolver com segurança e assim por diante, há muitos outros. Poderíamos começar com um deles para avaliar a viabilidade desse método aplicado diretamente.

Exemplo: a implementação de uma cultura de desenvolvimento seguro em uma equipe DEVOPS.

 • Se seguirmos o caminho normal, os analistas de segurança indicam à equipe de desenvolvimento que devem se proteger contra as vulnerabilidades descritas no top 10 do OWASP.



 • Isso pode ser rejeitado ou podemos receber uma resposta como a seguinte: Temos um processo de integração contínua e usamos uma plataforma X

 • Como resultado desses tipos de respostas, como profissionais de segurança cibernética, perdemos a motivação e entramos na mentalidade de simplesmente exigir algo sem antes entender como podemos fazer isso e qual estratégia podemos usar.

 • Por isso, recorremos ao Design Thinking:

 • Empatia: Entenda como a equipe de desenvolvimento trabalha, entenda quanto tempo suas tarefas levam, como podemos incorporar o novo conceito no trabalho diário para que ele se transforme gradualmente no que queremos como segurança.

 • Definir: Simplifique onde estão as principais possibilidades

 • Idealizar: Abra o jogo para pensar sobre as alternativas que existem para nos envolver no processo.

 • Refinar e criar um protótipo: monitore essa mudança para ver se há alguma diferença substancial.

Conclusões

Como profissionais, proponho que nos libertemos da afirmação "Por que teríamos que ter empatia se já sabemos quais são as coisas a melhorar". Esse tipo de afirmação absoluta nos faz perder a empatia que queremos gerar no usuário como uma área respeitável e colaborativa. Portanto, remover o foco em medidas paliativas absolutas e mudá-lo para um interesse real pode ser de grande ajuda para que a pessoa do outro lado queira colaborar conosco, além de focar em todo o desenvolvimento de uma ideia e em como ela foi bem-sucedida, entendendo as formas de lidar com outros pontos de vista e como uma implementação bem-sucedida foi concebida ao implementar um novo padrão ou um novo ponto de mudança. Trabalhar com empatia é a próxima tarefa a ser vista no horizonte.