Usuário, uso e usabilidade: redefinindo a segurança cibernética centrada no ser humano

Abstrato A eficácia das medidas de segurança cibernética é frequentemente questionada na sequência de eventos de segurança contundentes. Apesar de muito trabalho ser feito no campo da segurança cibernética, a maior parte do foco parece estar concentrada no uso do sistema. Neste artigo, examinamos os avanços feitos no desenvolvimento e design do domínio de segurança cibernética centrada no ser humano. Exploramos a crescente complexidade da segurança cibernética com uma perspectiva mais ampla, definindo usuário, uso e usabilidade (3Us) como três componentes essenciais para consideração de segurança cibernética e classificamos os esforços de desenvolvimento por meio de trabalhos de pesquisa existentes com base no design, implementação e implantação de segurança centrada no ser humano desses componentes. Particularmente, o foco está em estudos que ilustram especificamente a mudança de paradigma da segurança cibernética funcional e centrada no uso, para a segurança cibernética centrada no usuário, considerando os aspectos humanos dos usuários. O objetivo desta pesquisa é fornecer aos usuários e projetistas de sistemas informações sobre o funcionamento e as aplicações da segurança cibernética centrada no ser humano. Palavras-chave: segurança cibernética, usuário, usabilidade, uso, comportamento, design de sistema, human centric Vá para:

1. Introdução

A Internet pertence a seus usuários com tecnologia difundida na maioria dos domínios de aplicativos, considerações de segurança vindo como uma reflexão tardia e usabilidade das intervenções de segurança raramente consideradas. Particularmente com os dispositivos móveis sendo empurrados para o centro do design de tecnologia, a atual Internet centrada em dados deve se adaptar para se concentrar especialmente no aspecto do usuário ( Conti e Passarella, 2018). Para fazer justiça aos benefícios que podem surgir do uso pretendido de aplicativos de tecnologia, o foco deve mudar para manter os usuários da Internet protegidos contra danos que podem ser causados ​​por eventos de segurança cibernética. Embora tenham sido feitos avanços na concepção e implementação de sistemas de segurança cibernética, os fatores humanos muitas vezes ainda levam ao seu fracasso total. Existem inúmeros exemplos em que os usuários encontram maneiras de contornar as medidas de segurança implementadas para protegê-los ou simplesmente não entendem os perigos, apesar de campanhas de conscientização bem organizadas ( Kassicieh et al., 2015 ) . Dentro do domínio da segurança cibernética, parece haver uma troca constante entre os requisitos de segurança e a acomodação das necessidades humanas. A compreensão da segurança cibernética e seus limites costumavam ser claramente definidos dentro dos limites da segurança cibernética centrada no uso. No entanto, a evolução da Internet e os avanços tecnológicos associados, combinados com uma forma em constante mudança na qual usamos a tecnologia, mudou novamente nossa compreensão da segurança cibernética. Na realidade, o cenário moderno de segurança cibernética é indiscutivelmente sem perímetro, considerando a explosão no uso de dispositivos inteligentes e móveis ( Holanda, 2020 ) e o rápido movimento em direção a um ambiente de trabalho alterado como resultado da pandemia global de COVID-19 ( Whitty et al., 2020). A segurança cibernética não está mais contida nas fronteiras organizacionais ou nas redes domésticas, mas está presente além das fronteiras e alcançando a própria base do dia a dia em um nível de uso individual ( Holland, 2020 ) . Esse constante processo de trade-off traz um dilema de segurança, pois muitos mecanismos de segurança são implementados, mas não respeitados ou, em alguns casos, ativamente contornados pelos usuários ( Kraus et al., 2017 ; Lebeck et al . , 2018 ). É a partir desse dilema de segurança que surge a necessidade de segurança imersiva e um foco mais aprofundado na segurança cibernética centrada no ser humano, exigindo uma mudança de paradigma da segurança cibernética funcional e centrada no uso para a segurança cibernética centrada no usuário. A segurança cibernética centrada no ser humano é um conceito intangível, difícil de definir devido à conexão inerente entre humanos e tecnologia, e humanos e sistemas de segurança. Para o propósito desta pesquisa, consideramos a segurança cibernética centrada no ser humano como envolvendo todos os aspectos da segurança cibernética, com foco particular no envolvimento humano no sistema e nos processos. Ou seja, entender como o ser humano representa valor, mas também risco para uma organização; entender como humanos e computadores interagem e quais riscos são introduzidos como resultado dessas interações. Mais importante, entender que o humano pode ser considerado tanto o ponto de sucesso quanto o de fracasso, e que uma relação de confiança específica precisa ser desenvolvida entre o humano e o sistema para garantir o equilíbrio correto ( Holland, 2020 ). O aumento da atenção em um design centrado no ser humano é o foco da pesquisa contemporânea em segurança cibernética. Particularmente, o foco está mudando para incorporar o comportamento humano e a percepção cognitiva para garantir uma segurança cibernética totalmente centrada no ser humano que não apenas protege os seres humanos e as organizações dos efeitos nocivos posteriores dos eventos de segurança cibernética, mas também o faz em uníssono com o pensamento humano e os padrões comportamentais. Isso decorre de um entendimento mais claro de que os usuários (ou seja, humanos) sozinhos não são os únicos responsáveis ​​pela segurança dos sistemas. Atualmente, a norma é que os projetistas de sistemas de segurança cibernética (ou seja, os outros humanos) se concentrem apenas nos aspectos do sistema para se defender contra a malícia. No entanto, inerentemente, os usuários de sistemas de segurança cibernética têm percepções, conhecimentos e experiências diversas sobre os riscos de segurança que orientam seus comportamentos. Argumentamos que é a falha desses humanos, incluindo arquitetos, designers e desenvolvedores, em reconhecer e considerar devidamente o efeito de diferentes atributos do usuário que é potencialmente a causa raiz do problema. Ao conduzir esta revisão da segurança cibernética centrada no ser humano, pretendemos identificar as relações de seus diferentes componentes e descobrir como esses componentes funcionam juntos como um domínio de segurança cibernética coeso e inter-relacionado. Esse entendimento não apenas ajudará a elevar a postura geral de segurança cibernética dos humanos, mas também ajudará a reduzir os incidentes gerais de segurança cibernética. Ao conduzir esta revisão da segurança cibernética centrada no ser humano, pretendemos identificar as relações de seus diferentes componentes e descobrir como esses componentes funcionam juntos como um domínio de segurança cibernética coeso e inter-relacionado. Esse entendimento não apenas ajudará a elevar a postura geral de segurança cibernética dos humanos, mas também ajudará a reduzir os incidentes gerais de segurança cibernética. Ao conduzir esta revisão da segurança cibernética centrada no ser humano, pretendemos identificar as relações de seus diferentes componentes e descobrir como esses componentes funcionam juntos como um domínio de segurança cibernética coeso e inter-relacionado. Esse entendimento não apenas ajudará a elevar a postura geral de segurança cibernética dos humanos, mas também ajudará a reduzir os incidentes gerais de segurança cibernética. Nesta pesquisa exploratória, consideramos os 3Us da segurança cibernética – usuário, uso e usabilidade – para servir como base para entender as relações e interdependências entre os vários componentes de segurança cibernética de uma visão holística de segurança cibernética. Pesquisamos trabalhos recentes neste campo e classificamos os esforços de desenvolvimento com base em suas características e identificamos desafios futuros no desenvolvimento de projetos, implementação e implantação de segurança cibernética centrada no ser humano. Particularmente, nos concentramos em uma série de estudos que ilustram especificamente a mudança de paradigma da segurança cibernética funcional e centrada no uso para a segurança cibernética centrada no usuário, considerando os aspectos humanos dos usuários. Esta pesquisa visa ajudar os projetistas de sistemas a obter insights sobre esses aspectos humanos da segurança cibernética e, assim, implementar programas de segurança cibernética bem-sucedidos, enquanto suporta a usabilidade. Nossas descobertas incluem que o estigma em torno dos usuários como o elo mais fraco de um sistema cibernético não é mais o problema mais proeminente, mas sim a desconexão entre os humanos e os sistemas dos quais dependem. O restante deste artigo está organizado da seguinte forma. A Seção 2 fornece contexto para a pesquisa e uma classificação inicial da literatura revisada. A Seção 3 fornece uma visão geral da mudança em direção a uma abordagem mais centrada no ser humano (usuário) para segurança cibernética, enquanto a Seção 4 discute o sistema tradicional e a abordagem procedimental (uso) para segurança cibernética. A Seção 5 discute os aspectos de interação homem-sistema (usabilidade) que são mais propícios ao sucesso da segurança cibernética. A Seção 6 apresenta um estudo de caso ilustrativo na compreensão do modelo 3U, com a Seção 7 concluindo o estudo. Vá para:

2 Contexto de segurança cibernética centrada no ser humano

Uma questão importante a ser respondida na busca pela verdadeira segurança cibernética centrada no ser humano é como alcançar a segurança nacional e a segurança humana ao mesmo tempo. Para atingir esses objetivos duplos, primeiro classificamos as soluções de segurança existentes em dois grupos. Nas soluções voltadas para fora , o foco está nos atores da ameaça, enquanto nas soluções voltadas para dentro , o foco está nas vulnerabilidades do sistema cibernético ( Cavelty, 2014 ). Então, podemos desenvolver um programa holístico de segurança cibernética que considere não apenas sistemas e procedimentos voltados para dentro projetados para proteger usuários e organizações, mas também humanos voltados para fora com diversos vieses cognitivos, padrões comportamentais e necessidades psicológicas e sua interação com os sistemas. A segurança cibernética centrada no ser humano como um domínio ainda está sendo desenvolvida e não é bem compreendida. Foi estabelecido apenas recentemente como uma fusão dos princípios tradicionais de segurança cibernética e a integração da interação humano-computador, e com um foco maior na inteligência colaborativa, com humanos e tecnologia trabalhando lado a lado. O domínio se mostra promissor como uma abordagem sócio-cognitiva-técnica para segurança cibernética, focando não apenas no papel que os humanos desempenham na segurança cibernética, mas desenvolvendo uma variedade de abordagens que podem levar a uma perspectiva equilibrada de segurança cibernética, sem uma única ponto de falha. Isso contrasta com o ditado de que “os humanos são o elo mais fraco em um sistema técnico”. Ao estabelecer uma base para o conceito de segurança cibernética centrada no ser humano, selecionamos três componentes de segurança cibernética para consideração – 3U’s (usuário, uso e usabilidade) – ao projetar, implementar e avaliar sistemas de segurança cibernética. Esses componentes não são representações exaustivas da segurança cibernética centrada no ser humano, mas são considerados de particular importância, pois representam a multidimensionalidade do contexto da segurança cibernética. Ao estabelecer esse domínio, consideramos, como ponto de partida, os aspectos técnicos e a funcionalidade do design do sistema, o usuário humano envolvendo o sistema com a funcionalidade pretendida em mente e o pensamento associado e o processo comportamental do humano enquanto interage com o sistema para a funcionalidade pretendida. Esses componentes não são representações exaustivas da segurança cibernética centrada no ser humano, mas são considerados de particular importância, pois representam a multidimensionalidade do contexto da segurança cibernética. Ao estabelecer esse domínio, consideramos, como ponto de partida, os aspectos técnicos e a funcionalidade do design do sistema, o usuário humano envolvendo o sistema com a funcionalidade pretendida em mente e o pensamento associado e o processo comportamental do humano enquanto interage com o sistema para a funcionalidade pretendida. Esses componentes não são representações exaustivas da segurança cibernética centrada no ser humano, mas são considerados de particular importância, pois representam a multidimensionalidade do contexto da segurança cibernética. Ao estabelecer esse domínio, consideramos, como ponto de partida, os aspectos técnicos e a funcionalidade do design do sistema, o usuário humano envolvendo o sistema com a funcionalidade pretendida em mente e o pensamento associado e o processo comportamental do humano enquanto interage com o sistema para a funcionalidade pretendida. Os 3Us são especificamente selecionados como base para esta revisão.figura 1apresenta uma visão geral dos diferentes componentes da segurança cibernética centrada no ser humano e mostra o escopo geral do documento. Os componentes do usuário consideram o ser humano que interage com os sistemas cibernéticos para fins legítimos. A diversidade desses usuários, todos com diferentes níveis de consciência de segurança cibernética devido a influências pessoais, demografia e experiências passadas, bem como a psicologia do usuário e o comportamento em relação aos riscos de segurança cibernética são considerados no componente do usuário da segurança cibernética. Os componentes de uso estão principalmente preocupados com os aspectos funcionais de medidas tecnológicas e não tecnológicas que são implementadas para proteger os usuários contra ameaças de segurança conhecidas ( Kraus et al., 2017). Ele se concentra no uso pretendido de um sistema e mecanismos de segurança cibernética, como programas antivírus, algoritmos de detecção de spam, autorizações baseadas em senha, políticas organizacionais e leis de segurança cibernética. que tem sido um dos principais focos dos pesquisadores de segurança. Finalmente, os componentes de usabilidade consideram o quão bem o sistema pode ser usado pelo usuário real. Apresenta uma compreensão da interação dos seres humanos com a tecnologia e considera a interação entre o usuário e o produto que está usando. Inclui aspectos de fatores não funcionais, como aspectos estéticos e afetivos da interação humano-computador ( Kraus et al., 2017 ), bem como uma maior familiaridade além da experiência do usuário tradicional, onde o usuário está imerso na relevância e aplicação da segurança. A diagram of a diagram of a security system Description automatically generated FIGURA 1 3Us de segurança cibernética centrada no ser humano. Para entender o contexto da segurança cibernética centrada no ser humano como uma abordagem sócio-cognitiva-técnica, considere um exemplo de acesso personalizado à informação que requer autenticação do usuário. A autenticação é realizada por sistemas que solicitam uma combinação de nome de usuário e senha dos usuários. As políticas são desenvolvidas para impor o comprimento da senha (por exemplo, mínimo de 8 caracteres) e a complexidade (por exemplo, exigir letras maiúsculas e minúsculas, números, caracteres especiais, etc.). Além disso, o acesso ilegal à informação é proibido por lei. No entanto, as senhas são criadas por usuários que podem decidir usar a mesma senha para diferentes sites ou compartilhá-las com outras pessoas. Esses comportamentos dependem dos atributos pessoais dos usuários, como demografia, consciência situacional, psicologia e fatores cognitivos. Portanto, a autenticação deve ser realizada de forma utilizável, considerando os atributos do usuário, sem sobrecarregar o usuário. Por exemplo, as técnicas de autenticação multifator podem reduzir os riscos decorrentes do comportamento do usuário adicionando complexidade ao processo. Alternativamente, a autenticação baseada em biometria pode remover a exigência de senhas, embora tais abordagens possam ter suas próprias limitações. Para abordar esses aspectos, os pesquisadores propuseram diferentes métodos e arquiteturas de design. Conduzimos uma pesquisa bibliográfica exploratória sobre os avanços feitos no desenvolvimento e design do domínio de segurança cibernética centrada no ser humano, conforme resumido emtabela 1. Esta pesquisa não pretende ser uma representação exclusiva e exaustiva do domínio, mas visa fornecer uma visão geral e melhor compreensão do progresso e avanços atuais, bem como uma visão mais clara de quais poderiam ser os limites do domínio. Para capturar uma gama razoável de literatura sobre o domínio emergente, usamos os bancos de dados ACM e IEEE, Google Scholar e DBLP como fontes primárias. TABELA 1 Resumo da literatura de segurança cibernética centrada no ser humano pesquisada.
Do utilizador
Demografia e Cultura ( Seção 3.1 ) As características sociais e econômicas dos usuários, combinadas com um conjunto compartilhado de atitudes, crenças e práticas, influenciam a experiência pessoal do usuário. Estudos relevantes podem ajudar a identificar fatores que contribuem para o aumento de comportamentos de risco online e, assim, desenvolver estratégias de mitigação Camp et ai. (2019) ; Carol (2013) ; Da Veiga (2016) ; Higashino e Uchiyama (2012) ; Jung et al. (2019) ; Leenen et al. (2018) ; Liu et ai. (2014) ; Renaud e Flowerday (2017) ; Ruoti et ai. (2015) ; Simko et ai. (2018) ; Tam e outros. (2010) ; Ur et al. (2015) ; Van Schaik et ai. (2017)
Consciência Situacional ( Seção 3.2 ) A educação e o treinamento podem melhorar a conscientização e a percepção dos usuários sobre a situação de segurança cibernética em relação ao tempo e ao espaço, compreensão do significado e projeção de possíveis implicações futuras. A gamificação e a experiência imersiva podem ser mais eficazes para criar uma melhor consciência da situação Adams e Makramalla (2015) ; Bosnjak e Brumen (2016) ; Grobler et ai. (2011) ; Howard e Cambria (2013) ; Jones e Endsley (1996) ; Kassicieh et ai. (2017) ; Kluge (2007) ; Labuschagne e Eloff (2014) ; Newman e outros. (2002) ; Renaud e Flowerday (2017) ; Tam e outros. (2010) ; Tan e Aguilar (2012) ; Van Schaik et ai. (2017)
Psicologia e Comportamento ( Seção 3.3 ) As necessidades psicológicas humanas, como autonomia, competência, segurança, estimulação e manutenção do significado, podem afetar o comportamento dos usuários em relação às ameaças cibernéticas e ao uso de sistemas de segurança cibernética. Os sistemas que atendem às necessidades psicológicas e de segurança podem ter um desempenho melhor em comparação com aqueles que atendem apenas às necessidades de segurança Abbott e Garcia (2015) ; Adams e Sasse (1999) ; Bonders e Slihte (2018) ; Bonneau e Preibusch (2010) ; Devillers (2010) ; Dourish et ai. (2004) ; Gçaza et al. (2017) ; Kraus et ai. (2017) ; Moller et ai. (2012) ; Pfleeger e Caputo (2011) ; Stobert e Biddle (2014) ; Tam e outros. (2010) ; Thomas e Galligher (2018) ; Tischer et ai. (2016) ; Ur et al. (2015) ; Van Schaik et ai. (2017)
Fatores cognitivos ( Seção 3.4 ) As pessoas têm diferentes capacidades de memória e reconhecimento. Eles fazem escolhas para equilibrar segurança e complexidade, seu apetite por risco em vidas digitais pode diferir de suas vidas físicas e suas ações podem não estar alinhadas com suas crenças declaradas. Compreender os fatores cognitivos dos usuários pode ajudar a selecionar e/ou desenvolver sistemas que funcionem para eles Camp et ai. (2016) ; Devillers (2010) ; Dourish et ai. (2004) ; Gao et al. (2018) ; Hadlington e Murphy (2018) ; Pfleeger e Caputo (2011) ; Pilar et ai. (2012) ; Ruoti et ai. (2017) ; Stobert e Biddle (2014) ; Tam e outros. (2010) ; Ur et al. (2015) ; Williams e outros. (2017)
Uso
Medidas Funcionais ( Seção 4.1 ) Os sistemas de segurança cibernética definiram funções para proteger usuários e organizações, mas eles se comunicam com o jargão técnico. Considerar o usuário final geral no contexto de ambientes sociais e físicos pode melhorar a eficácia da funcionalidade pretendida Felt e cols. (2012) ; Giacobe e Xu (2011) ; Iacono et al. (2017) ; Kraus et ai. (2017) ; Lua e outros. (2015) ; Qu et al. (2014) ; Renaud e Flowerday (2017) ; Wu e outros. (2018)
Medidas Técnicas ( Seção 4.2 ) As tecnologias são prometidas para fornecer segurança transparente, tornando os usuários inconscientes das ameaças à segurança. Os desenvolvedores dessas tecnologias podem não estar cientes das falhas de seus sistemas que podem ser exploradas por adversários Acar et al. (2017) ; Bonneau e Preibusch (2010) ; Chiasson et ai. (2006) ; De Donno et ai. (2018) ; Florêncio e Herley (2007) ; Gerber e outros. (2017) ; Grobler et ai. (2012) ; Gunson e outros. (2011) ; Julisch (2013) ; Kraus et ai. (2017) ; Komanduri et al. (2011) ; Stobert e Biddle (2014)
Legislação, regulamentos e políticas ( Seção 4.3 ) O espaço de múltiplas jurisdições do espaço cibernético torna os instrumentos legislativos menos eficazes contra crimes cibernéticos. As estruturas de política de segurança são cognitivamente complexas para serem implementadas de forma eficaz Acar et al. (2017) ; Cavelty (2014) ; Grobler et ai. (2012) ; Julisch (2013) ; Raschke et ai. (2017a) ; Swart et ai. (2014) ; Weber (2010)
Usabilidade
Fatores de Experiência ( Seção 5.1 ) A transparência dos sistemas de segurança cibernética dificulta a compreensão do design do sistema por usuários legítimos, levando à resistência e à evasão. Os usuários que implementam sistemas de segurança têm dificuldade em implantá-los. Considerar a experiência imersiva do usuário pode ajudar na conformidade e eficácia das medidas de segurança cibernética Aumi e Kratz (2014) ; Braz e Robert (2006) ; Greaves e Coetzee (2017) ; Hadlington e Murphy (2018) ; Iacono et al. (2017) ; Julisch (2013) ; Kraus et ai. (2017) ; Krol et ai. (2015) ; Lebeck et ai. (2018) ; Pfleeger e Caputo (2011) ; Stobert e Biddle (2014) ; Tam e outros. (2010)
Fatores de interação ( Seção 5.2 ) A interação dos usuários com a segurança cibernética deve ser intuitiva, compreensível e confortável. Compreender suas interações com todo o ecossistema de tecnologia pode tornar os sistemas de segurança cibernética mais utilizáveis Agarwal et ai. (2016) ; Bonneau e Preibusch (2010) ; Conti e Passarella (2018) ; Denning et ai. (2009) ; Dunphy et ai. (2014) ; Gerber e outros. (2017) ; Haack et ai. (2009) ; Hassenzahl et ai. (2010) ; Higashino e Uchiyama (2012) ; Kraus et ai. (2017) ; Lebeck et ai. (2018) ; Rajkumar et ai. (2010) ; Riahi et al. (2014) ; Senarath et ai. (2019) ; Tyworth et ai. (2013) ; Wijayarathna et al. (2017) ; Wu e outros. (2018)
Abrir em uma janela separada Nós nos concentramos particularmente em artigos identificados com palavras-chave, incluindo segurança cibernética centrada no ser humano, usabilidade, comportamento do usuário e segurança utilizável. Aplicamos ainda uma abordagem de amostragem em cadeia, identificando e buscando artigos não probabilísticos de relevância nas listas de referência dos artigos inicialmente identificados. Focamos especificamente em artigos publicados entre 2005 e 2019. Além disso, apenas artigos revisados ​​por pares publicados em inglês foram considerados. Todos os artigos cujo texto completo não estava totalmente acessível foram automaticamente excluídos da revisão. Editoriais, documentos de posicionamento, palestras e painéis de discussão também foram excluídos. Dos 111 artigos obtidos, foram considerados apenas os artigos que focavam especificamente em um elemento de segurança cibernética centrado no ser humano, resultando na inclusão final de 78 artigos. O levantamento dos dados, extração e classificação da literatura foram realizados por três revisores entre agosto de 2018 e dezembro de 2019. Analisaremos os componentes 3U da segurança cibernética centrada no ser humano com mais detalhes nas seções a seguir, começando com o componente do usuário na próxima seção. Vá para:

3 usuário

As vulnerabilidades humanas representam 80% do total de vulnerabilidades exploradas pelos invasores, mas o foco da segurança cibernética costuma ser direcionado apenas às ferramentas e tecnologias do sistema ( Adams e Makramalla, 2015 ). Esta seção aborda medidas comportamentais dos usuários individuais, conscientização e treinamento como indicadores da cultura de segurança cibernética, além de algum envolvimento em termos de medidas técnicas discutidas na Seção 4.2 . A premissa é que os usuários acreditam ser invulneráveis ​​a riscos de segurança, ou seja, “Isso vai acontecer com outra pessoa” e, portanto, optam pela conveniência acima da segurança. Ao alavancar a ciência comportamental, a experiência imersiva de segurança cibernética pode ser melhorada, fornecendo informações valiosas em termos de carga cognitiva e viés (Pfleeger e Caputo, 2011 ). Figura 2apresenta a perspectiva do usuário de segurança cibernética, onde tanto o ataque quanto o mecanismo de defesa podem ser um obstáculo do ponto de vista do usuário. Embora nossa pesquisa se concentre particularmente no usuário legítimo do sistema, reconhecemos a existência de diferentes categorias de usuários, incluindo usuários mal-intencionados e usuários especialistas especializados. Esses usuários identificados não são exaustivos, mas fornecem uma perspectiva geral do componente do usuário. Aqui, revisamos quatro componentes do usuário da segurança cibernética: demografia e cultura, consciência situacional, psicologia e comportamento e fatores cognitivos. A computer and a person with a computer Description automatically generated FIGURA 2 – Cibersegurança: perspectiva do usuário.

3.1 Demografia e Cultura

A demografia carrega um peso relativo em termos de abordagens sociotécnicas e é um componente chave para abordar a interação de aspectos humanos e técnicos dentro de um ambiente cibernético. Assume-se que o utilizador é imprevisível na aplicação da segurança, conforme demonstrado pelos diferentes papéis desempenhados pelos humanos. Portanto, o comportamento do usuário é estudado para entender melhor e, eventualmente, melhorar o comportamento de segurança. Embora a demografia não desempenhe um papel preponderante no foco da segurança cibernética, sua importância leva à sua inclusão como uma dimensão distinta no modelo de resiliência cibernética em saúde proposto ( Camp et al., 2019). Este modelo permite caracterizações estatísticas para criar uma visão empírica, porém realista, do comportamento humano ao estabelecer uma linha de base global para identificar e extrapolar fatores que contribuem para aumentar a vulnerabilidade a comportamentos de risco online. Por meio de nossa pesquisa de literatura, identificamos que fatores internos e externos podem ter impacto no comportamento relacionado à segurança cibernética. Especificamente, o impacto de fatores demográficos específicos foi estudado na capacidade dos usuários de usar métodos técnicos de autenticação com sucesso. Acredita-se que a experiência pessoal do usuário pode influenciar diretamente em suas decisões tomadas no ciberespaço ( Tam et al., 2010 ; Camp et al., 2019 ), sejam elas relacionadas às senhas escolhidas ou aos maneirismos e comportamentos decorrentes de outras áreas de sua vida. Estudos limitados se concentram na identificação de vulnerabilidades do usuário específicas para o país ou domínio geográfico ( Liu et al., 2014 ; Ruoti et al., 2015 ; Ur et al., 2015Van Schaik et al., 2017 ). A cultura pode ser definida em termos de um senso coletivo e compartilhado de relacionamento com a experiência humana. Nesse contexto, a percepção das diferenças culturais, principalmente do ponto de vista organizacional, tornou-se uma prioridade crítica em um mundo cada vez mais interconectado ( Leenen et al., 2018 ). Segundo Da Veiga (2016) , é “a maneira intencional e não intencional pela qual o ciberespaço é utilizado de uma perspectiva internacional, nacional, organizacional ou individual no contexto das atitudes, suposições, crenças, valores e conhecimentos do ciberusuário .” Ela decorre do conhecimento processual de segurança cibernética e de sua aplicação consistente por um usuário cibernético. Pesquisas também foram feitas em termos de cibercultura em nível nacional e como isso influencia o comportamento dos indivíduos no ciberespaço. Particularmente, uma ligação definitiva foi estabelecida entre as dimensões da cultura nacional e a maturidade da segurança cibernética, como resultado da análise das práticas de senha. A análise mostrou que até que ponto os membros menos poderosos de uma sociedade aceitam que o poder é distribuído de forma desigual (ou seja, índice de distância do poder), o nível de conexão que a sociedade faz entre o passado, presente e futuro (ou seja, orientação de longo prazo) e o grau em que as pessoas preferem ficar sozinhas para cuidar de si mesmas ou querem permanecer em uma rede estreitamente unida (ou seja, individualismo), tudo isso contribui para o nível de maturidade da segurança cibernética dentro de um grupo social específico ( Jeong et al., 2019). Embora o vínculo tenha sido estabelecido em nível nacional, aceita-se que a identidade social seja dinâmica e que essas influências culturais permaneçam fluidas à medida que o usuário se move entre diferentes grupos de identidade social. Esses achados concordam com a pesquisa de Simko et al. (2018)que investigou as relações entre cultura e necessidades relacionadas à segurança e privacidade. Embora este estudo se concentre especificamente em refugiados recém-estabelecidos nos Estados Unidos por meio de entrevistas e estudos de grupos focais, algumas descobertas importantes são muito relevantes, pois as melhores práticas comuns nem sempre são viáveis ​​e não podem ser consideradas de conhecimento comum. O estudo descobriu que os mecanismos de segurança “tradicionais”, como autenticação baseada em senha, não são projetados para usuários de diferentes origens culturais e que alguns conceitos de segurança, como roubo de identidade, não são conhecidos por todos.

3.2 Consciência Situacional

De acordo com Jones e Endsley (1996) , a consciência situacional é uma combinação de aquisição e interpretação de informações para incorporar quatro estágios: percepção (adquirir fatos disponíveis), compreensão (compreensão dos fatos em relação ao nosso conhecimento de tais situações), projeção (visualizar como os é provável que a situação se desenvolva) e previsão (avaliando como as forças externas podem agir sobre a situação para afetar as projeções). No que diz respeito aos humanos, Howard e Cambria (2013)são de opinião que a consciência situacional deve ser estendida para incluir também a consciência da intenção como o processo de integração das intenções dos atores (tanto o usuário quanto o sistema) em uma visão unificada do ambiente circundante. Isso concorda com o modelo de usuário geralmente aceito, em que os usuários legítimos visam, respectivamente, defender ou usar o sistema, enquanto a intenção do invasor mal-intencionado é atacar. Muitos trabalhos mostraram a influência do ambiente de uma pessoa e da exposição à Internet em seu comportamento de segurança online ( Tan e Aguilar, 2012 ; Bosnjak e Brumen, 2016 ; Van Schaik et al., 2017). No entanto, uma necessidade adicional foi identificada para desenvolver sistemas cibernéticos que incorporem ou aprimorem a consciência situacional existente para não apenas abordar medidas quantitativas brutas, mas também incluir a consideração total de atores humanos e seus comportamentos imprevisíveis ( Howard e Cambria, 2013 ) . No contexto cibernético, a reação adequada aos eventos cibernéticos requer um alto grau de consciência situacional e intencional, permitindo ao usuário se adaptar rapidamente e até antecipar ações imprevisíveis que possam ocorrer. O usuário deve considerar um amplo escopo de atributos ambientais e informacionais ( Howard e Cambria, 2013 ). Por exemplo, um usuário deve ser capaz de olhar para a linha de assunto e o nome do remetente de um e-mail recebido (ou seja, percepção) e estar suficientemente ciente de seu ambiente para tomar uma decisão informada sobre confiar ou não no e-mail. “Conheço o remetente? Faço negócios com o remetente ou com um nome institucional? A linha de assunto é relevante para algo que é atualmente pertinente em minha vida?”(ou seja, compreensão). O usuário também deve ser capaz de levar essa compreensão um passo adiante para avaliar a intenção do remetente de verificar quaisquer possíveis implicações de segurança cibernética que possam surgir (ou seja, projeção) se continuar clicando no e-mail para abri-lo (ou seja, previsão ). Para promover a conscientização situacional e intencional de um usuário, existem estruturas de conscientização de segurança que prescrevem as etapas necessárias para projetar e implementar um programa de conscientização de segurança eficaz, consulte a Agência da União Europeia para Segurança de Rede e Informação (ENISA) e o Instituto Nacional de Padrões e Tecnologia ( NIST) Quadro de Conscientização. Esses programas visam equipar os usuários cibernéticos com o conhecimento necessário para identificar e mitigar ameaças ( Labuschagne e Eloff, 2014 ). Embora a importância do treinamento de conscientização sobre segurança cibernética seja clara ( Newman et al., 2002 ; Grobler et al., 2011 ; Renaud e Flowerday, 2017 ), ele nem sempre fornece o treinamento de habilidades necessário para uma melhor proteção contra ataques cibernéticos (Adams e Makramalla, 2015 ). Por exemplo, em uma pesquisa global com profissionais de TI, a Dimensional Research (2018) descobriu que 43% deles viram suas organizações serem alvo de esquemas de engenharia social, apesar de a engenharia social ser frequentemente uma área de foco em contextos de conscientização de segurança cibernética. Vinculadas à implementação dessas estruturas, uma variedade de abordagens pode ser usada para promover campanhas de conscientização e treinamento em segurança cibernética. Adams e Makramalla (2015) também descobriram que o treinamento de segurança cibernética para todos os funcionários é ineficiente em transmitir o conhecimento e as habilidades necessárias para os funcionários reduzirem o número de ataques bem-sucedidos. Portanto, a abordagem recomendada para conscientização e treinamento é manter os usuários informados sobre os problemas de segurança atuais ( Tam et al., 2010 ), sem sobrecarregá-los com informações técnicas desnecessárias que não contribuem para a compreensão do problema de segurança. Também argumentou que as mensagens de conscientização devem utilizar o tempo, a localização e a coerção social para manter as melhores práticas em mente e jogos inovadores para estimular e fornecer feedback para melhorar o interesse e a memorabilidade dos conceitos de segurança cibernética ( Kassicieh et al., 2017). Uma abordagem mais formal para o treinamento em segurança cibernética inclui o suporte focado na certificação do treinamento. Kluge (2007) sugere que as organizações devem assumir a liderança no desenvolvimento de princípios apropriados de alto nível para certificação profissional e protocolos de segurança e na harmonização destes em uma base global. Isso apoiará o fornecimento de uma base firme e consistente para tratados internacionais no domínio da segurança cibernética. A gamificação é outra abordagem moderna para criar consciência da situação, promovendo aprendizagem ativa e motivação, ao mesmo tempo em que aumenta a retenção das habilidades aprendidas. Isso contrasta com abordagens mais tradicionais, como aulas conduzidas por instrutores ou cartazes informativos ( Adams e Makramalla, 2015 ). A pesquisa de Kassicieh et al. (2017)descobriram que os programas de treinamento e conscientização sobre segurança cibernética são limitados em sua eficácia se não forem direcionados. desde o treinamento de orientação piramidal para uma força de trabalho diversificada até o aprendizado de velcro e técnicas de sala de aula invertida.

3.3 Psicologia e Comportamento

A segurança cibernética não é apenas sobre tecnologia, com as descobertas de Dourish et al. (2004) indicando que os usuários têm atitudes neutras a negativas em relação às soluções de segurança. As razões incluem soluções de segurança sendo percebidas como barreiras ao trabalho, segurança estendendo-se do ambiente online para mundos físicos, delegação de segurança para outros, incluindo tecnologias, indivíduos e organizações, etc. Por exemplo, os usuários raramente escolhem senhas que são difíceis de adivinhar e fáceis de adivinhar lembrar. Consequentemente, a origem dos ataques cibernéticos geralmente é a vulnerabilidade da vítima, e não a engenhosidade do invasor. Para determinar como ajudar os usuários a escolher boas senhas, Tam et al. (2010)realizou um ensaio controlado dos efeitos de dar aos usuários diferentes tipos de conselhos. Eles descobriram que os motivos por trás da seleção de senhas e dos comportamentos de gerenciamento de senhas são complexos, muitas vezes diferentes dependendo do tipo de conta em questão. Eles também descobriram que o prazo de seleção de senha afeta a motivação para escolher uma senha segura. Este prazo refere-se tanto ao tempo da vida de uma pessoa em que a senha precisa ser formulada, quanto ao tempo/regularidade com que a senha será utilizada, por exemplo, diariamente, semanalmente, mensalmente, etc. na Carnegie Mellon University após uma mudança na política de senha mostrou que os usuários ficaram muito frustrados com a mudança, mas acreditavam que a mudança os tornava mais seguros. Esses usuários se adaptaram para encontrar novas estratégias de enfrentamento para lidar com o gerenciamento de suas senhas. Apesar disso, as pessoas retêm fragmentos de hábitos anteriores, como usar uma palavra raiz como base para todas as senhas, o que resulta em reutilização de senha estendida e de longo prazo (Stobert e Biddle, 2014 ). Verificou-se que esse mau comportamento de segurança cibernética tem um impacto negativo na cultura de segurança cibernética. A incorporação de uma compreensão do comportamento humano em produtos e processos de segurança cibernética pode levar a uma tecnologia mais eficaz ( Pfleeger e Caputo, 2011 ). Em contraste, a resistência às medidas de segurança cibernética pode comprometer a eficácia do nível de segurança ( Gcaza et al., 2017 ) e, como tal, os aspectos psicológicos devem ser considerados em um verdadeiro projeto de segurança cibernética centrado no ser humano. Kraus et ai. (2017)mostram que existe uma relação entre traços de personalidade e segurança da informação. Eles investigaram a satisfação das necessidades psicológicas dos seres humanos como motivadores para ações de segurança e privacidade, especificamente com o uso de smartphones. Eles identificaram 11 necessidades psicológicas que são atendidas ao usar smartphones, sendo apenas uma delas necessária para segurança. Eles também observaram que muitas das ações podem beneficiar a segurança e a privacidade do usuário, mas a necessidade abrangente atendida não é específica de segurança, sugerindo, portanto, que as ações de segurança e privacidade sejam consideradas mais em termos de satisfação das necessidades psicológicas. A partir deste estudo, eles identificam que a necessidade de autonomia, competência, segurança, estímulo e manter o significado são salientes como motivadores para ações de segurança e privacidade.

3.3.1 Autonomia

A necessidade de autonomia decorre da sensação de que um usuário é a causa de suas próprias ações, em vez da sensação de que forças ou pressões externas estão causando as ações. Por exemplo, Tam et al. (2010) descobriram que os usuários sabem o que constitui uma senha boa/ruim e sabem quais práticas comuns de gerenciamento de senhas são (in)apropriadas. Ainda assim, eles são motivados a se envolver em comportamentos inadequados de gerenciamento de senhas porque não veem nenhuma consequência negativa imediata para si mesmos e a aceitação geral da troca de conveniência/segurança. Da mesma forma, Moller et al. (2012)descobriu que muitos usuários de aplicativos Android não instalavam atualizações imediatamente, um comportamento que pode resultar em vulnerabilidades de segurança. Assim, o comportamento dos usuários deve ser adaptado em consideração à visão cognitiva dos usuários sobre o dilema, a fim de enquadrar essa necessidade no contexto da segurança cibernética.

3.3.2 Competência

Essa necessidade decorre de se sentir capaz e eficaz nas ações de um usuário, em vez de se sentir incompetente ou ineficaz. Os usuários geralmente não conhecem os riscos envolvidos em ações cibernéticas específicas, mas não querem parecer incompetentes. Tam e outros. (2010) descobriram que o fator de prazo na criação da senha afeta apenas as contas mais importantes, como uma conta bancária online, em que a conveniência/segurança se inclina para a segurança. Portanto, os usuários escolhem senhas fortes apenas se estiverem dispostos a sacrificar a conveniência — entender a importância de escolher apenas uma senha forte não é suficiente. Em um estudo, Tischer et al. (2016)sugeriram que os usuários poderiam estar menos dispostos a correr riscos e/ou mais dispostos a relatar comportamentos de segurança depois de serem explicitamente informados de que foram vítimas de um ataque. Isso apóia as noções de que os usuários não querem se sentir incompetentes ou ineficazes.

3.3.3 Segurança

A necessidade de segurança decorre de se sentir seguro e no controle, em vez de se sentir incerto e ameaçado por suas circunstâncias. Os usuários apresentam excesso de confiança com uma atitude de “não serei afetado por isso” . Os usuários têm certas percepções que podem impactar positiva ou negativamente seu processo de segurança ( Gcaza et al., 2017 ). Além disso, Van Schaik et al. (2017) mostram que maus comportamentos de segurança são adotados pelos usuários e mantidos ao longo de sua progressão na vida (de estudantes a trabalhadores). Além disso, vários estudos de pesquisa afirmam que o mau comportamento de segurança é causado pela implementação de mecanismos de segurança específicos ( Seção 4 ), combinado com a falta de conhecimento dos usuários ( Adams e Sasse, 1999 ;Devillers, 2010 ; Abbott e Garcia, 2015 ). Por exemplo, apesar da pesquisa indicar a falta de cooperação do usuário em termos de autenticação utilizável ( Ur et al., 2015 ), os usuários podem avaliar corretamente a qualidade da senha e identificar estratégias ruins de formulação de senha ( Tam et al., 2010 ).

3.3.4 Estimulação

A necessidade de estimulação decorre da sensação de que o usuário obtém muito prazer e prazer, em vez de se sentir entediado e pouco estimulado. Verifica-se que os usuários muitas vezes subestimam os riscos associados ao seu comportamento e, portanto, se envolvem em comportamentos de risco para serem estimulados. Por exemplo, Tischer et al. (2016)conduziu um estudo lançando 297 unidades flash em grandes campi universitários e verificando se os ataques usando essas unidades USB descartadas aleatoriamente seriam bem-sucedidos. A taxa de sucesso foi entre 45 e 98% e o ataque bem-sucedido mais rápido foi possível em 6 minutos, 68% conectaram as unidades USB para encontrar o proprietário e 18% por curiosidade. As pesquisas pós-ataque revelaram que muitos desses usuários eram motivados por comportamento altruísta. Eles não eram tecnicamente incompetentes, mas eram membros típicos da comunidade que pareciam correr mais riscos recreativos do que seus pares, sem dúvida devido à necessidade de estímulo e prazer.

3.3.5 Mantendo o Significado

Essa necessidade decorre do desejo de coletar coisas significativas. Vários estudos identificaram insights interessantes sobre as técnicas que os usuários aplicam para criar e manter o controle de contas e senhas. Independentemente das medidas adicionais implementadas para garantir a segurança adequada, o comportamento humano leva os usuários a reutilizar a mesma senha ou a senha ligeiramente alterada para várias contas, ou vários usuários usando a mesma senha ( Stobert e Biddle, 2014). Nesse contexto, significativo pode simplesmente se referir a uma conta que exigiria mais esforço para redefinir no caso de esquecimento de uma senha. Por exemplo, muitos sites oferecem um serviço de redefinição de senha que é bastante fácil de redefinir em comparação com uma redefinição de senha de conta bancária on-line que pode exigir que o usuário visite fisicamente uma agência bancária com documentos de identificação originais para redefinir a senha ( Gao et al ., 2018 ). Outro fator é a recomendação de segurança para fazer backups de dados ( Bonders e Slihte, 2018 ; Thomas e Galligher, 2018 ), embora muitas vítimas de crimes cibernéticos muitas vezes não tenham backup de dados recentes para facilitar sua recuperação.

3.4 Fatores Cognitivos

Compreender como os usuários geralmente reagem quando confrontados com situações de segurança complexas é essencial para projetar segurança utilizável para evitar que qualquer viés cognitivo afete negativamente o aplicativo de segurança cibernética. Para ilustrar isso, três exemplos específicos de fatores de viés cognitivo são apresentados.
  • Exemplo 1 Tam et al. (2010) mostram que 85,7% dos usuários conseguem avaliar corretamente a qualidade da senha, com 95,4% dos usuários identificando corretamente estratégias de formulação de senhas ruins. No entanto, esse conhecimento teórico não se traduz em aplicação, com uma grande proporção de usuários não escolhendo senhas seguras para proteger suas contas e dispositivos, e estima-se que 15% de todas as senhas contenham uma palavra ou um nome sufixado com o número “1” ( Devillers, 2010 ). Um estudo conduzido por Ur et al. (2015)identificou que os usuários consideram o uso de uma data de nascimento ou nome apropriado se acreditarem que as informações não estão prontamente acessíveis nas mídias sociais. Muitos usuários também acreditam que sua própria combinação selecionada exclusivamente de palavras do dicionário ou palavras com significado pessoal (como o nome do meio de um parceiro) serão aleatórias o suficiente para evitar ataques de adivinhação.
  • Exemplo 2 Em pesquisas de opinião, o público frequentemente afirma valorizar sua privacidade, mas age contrariamente a essa noção (referido como paradoxo da privacidade ou cálculo da privacidade ). Para ilustrar isso, Williams et al. (2017) levantam a hipótese de que a Internet das Coisas (IoT) restringe o comportamento protetor. Eles provam que o paradoxo da privacidade é significativamente mais prevalente em IoT, frequentemente justificado por falta de conscientização (um terço dos entrevistados apresentou uma disparidade de opinião-ação, ou seja, disse que não confia em dispositivos IoT, mas ainda compra os dispositivos). O estudo descobriu que os dispositivos IoT são considerados significativamente menos privados do que os produtos não IoT. ainda muitos usuários que reconheceram os riscos ainda compraram os produtos.
  • Exemplo 3 Para entender melhor as percepções dos usuários sobre suas vidas digitais e como eles gerenciam sua postura de segurança online, Ruoti et al. (2017)conduziu uma série de entrevistas semi-estruturadas com pais principalmente de meia-idade. Eles descobriram que os participantes escolheram sua postura de segurança com base no imenso valor que a Internet oferece e na crença de que nenhuma combinação de tecnologia poderia torná-los perfeitamente seguros. Os resultados revelaram que os equívocos dos participantes relacionados aos indicadores de criptografia baseados em navegador levam a um comportamento inseguro – os participantes achavam que o e-mail seguro era menos seguro do que mensagens de texto por causa de sua permanência. O artigo refere-se à teoria da motivação de proteção, na qual os usuários reagem aos medos avaliando a gravidade e a probabilidade da ameaça e, em seguida, avaliando a eficácia de um comportamento recomendado e sua capacidade de executar essa recomendação de maneira eficaz, como uma explicação para os usuários de computadores domésticos. comportamento de segurança e motivação de comportamento seguro online.
Hadlington e Murphy (2018) estudaram a relação entre a multitarefa de mídia e os comportamentos arriscados de segurança cibernética dos usuários. O artigo estabeleceu um mecanismo de pontuação de referência para tais comportamentos, usando o questionário de falhas cognitivas para avaliar os lapsos na cognição nas áreas de percepção, memória, função motora e o inventário multitarefa de mídia para capturar o comportamento de uso da mídia. Este estudo mostrou que os indivíduos que se envolveram em multitarefas de mídia com mais frequência relataram mais falhas cognitivas cotidianas e uma maior frequência de envolvimento em comportamentos arriscados de segurança cibernética. Outro aspecto importante da cognição humana está relacionado à capacidade de memória e à funcionalidade de recuperação e reconhecimento na aplicação de senhas. De acordo com Camp e cols. (2016)a autenticação usando senhas requer três ações cognitivamente difíceis. Em primeiro lugar, uma boa senha requer geração de alto nível de entropia. Em segundo lugar, a pessoa deve se lembrar de forma confiável dessa senha altamente entrópica. Em terceiro lugar, a pessoa deve mapear adequadamente a senha para o contexto. Em seu trabalho, eles vislumbraram a criação de um sistema mais utilizável que pode ajudar os usuários a lembrar com mais precisão as senhas escolhidas. Estudos adicionais de Stobert e Biddle (2014) e Gao et al. (2018) investigam a capacidade dos usuários de lembrar suas senhas, com base na teoria ecológica da memória e esquecimento. Gao et al. (2018) lança uma nova luz sobre gerenciamento de senhas, uso de contas, segurança de senhas e memorabilidade. Eles investigam a questão da memorabilidade: por que os usuários se lembram de algumas senhas, mas não de outras? A premissa é que a profundidade do poder de processamento (ou seja, senhas geradas rapidamente versus senhas que foram bem pensadas) e a correspondência de recuperação de codificação (pistas visuais ao criar a senha) têm um impacto significativo na memorização. Pilar et ai. (2012) apresentaram os resultados de um estudo realizado para entender a limitação da memória humana no uso de senhas como mecanismos de autenticação. O resultado interessante é que o desempenho da memória para senhas tem links diretos para o número de senhas, e não para a idade da senha.Gao et al. O estudo de (2018) apóia essa descoberta, apresentando evidências da teoria do decaimento. Eles propõem que a memória humana se adapta naturalmente de acordo com uma estimativa de quantas vezes uma senha será necessária, de modo que senhas importantes usadas com frequência têm menos probabilidade de serem esquecidas. Eles também apresentam a teoria da interferência, que sugere que o esquecimento pode ser devido à interferência entre traços de memória semelhantes, como quando as senhas têm palavras semelhantes ou são usadas em aplicativos de aparência semelhante. O estudo constatou o uso de gerenciadores de senhas para senhas baseadas em texto em apenas 1%, não resolvendo assim o problema de senhas esquecidas. Um estudo de Dourish et al. (2004)tem como objetivo compreender a experiência do usuário em segurança ao utilizar tecnologias ubíquas e móveis em seu dia a dia. O estudo examina as preocupações dos usuários com relação à segurança, as atitudes em relação à segurança e os contextos sociais e organizacionais nos quais surgem as preocupações com a segurança. As descobertas apontam particularmente para soluções técnicas emergentes. A premissa do estudo é que soluções eficazes de segurança dependem não apenas das propriedades matemáticas e técnicas dessas soluções, mas também da capacidade dos usuários de entendê-las e utilizá-las como parte de seu trabalho, conforme mostrado nesta discussão sobre fatores cognitivos. Esta discussão sobre os aspectos psicológicos e comportamentais dos usuários mostra claramente como as interações entre o usuário que usa o sistema e o sistema projetado para defender o usuário contra invasores precisam ser integradas em todos os níveis para apresentar uma abordagem de segurança cibernética totalmente centrada no ser humano . A próxima seção investiga o componente de uso com mais detalhes. Vá para:

4 Uso

O uso se concentra nos métodos tradicionais que englobam os métodos e técnicas empregadas para aumentar a segurança geral do sistema. Conforme ilustrado emFigura 3, o design funcional do sistema é baseado na defesa do sistema contra ataques. Tanto a defesa do sistema quanto os ataques podem ser conduzidos por ações humanas. Nesta seção, revisamos os três componentes de uso da segurança cibernética: medidas funcionais, medidas técnicas, bem como legislação, regulamentos e políticas. Esses aspectos trabalham juntos, tanto como aspectos individuais quanto como um todo combinado, para atender ao uso pretendido do sistema, mas com foco na segurança. Para o propósito desta pesquisa, nos concentramos apenas na perspectiva de uso do usuário legítimo. Diagram of a diagram of a computer system Description automatically generated FIGURA 3 Segurança cibernética: perspectiva de uso.

4.1 Medidas Funcionais

O objetivo principal de um sistema de segurança pode ser considerado como o cumprimento de uma função específica, conforme estipulado ou esperado em uma situação específica (demonstrado emFigura 3). De uma perspectiva simplista do usuário, a função de qualquer coisa dentro do espaço cibernético é disseminar as informações solicitadas pelo usuário e alertá-lo quando uma ameaça cibernética é detectada. Um usuário legítimo esperaria que o sistema funcionasse como pretendido e fornecesse as medidas de desempenho necessárias para permitir que o sistema fosse usado de maneira agregada de valor. Embora nos concentremos no usuário legítimo de um sistema cibernético, o mesmo vale para o usuário mal-intencionado que acessaria informações por meio do sistema cibernético, exploraria usuários legítimos e estaria atento a sistemas de detecção de intrusão que poderiam alertar contra suas próprias ações maliciosas. tentativas. Da mesma forma, um usuário especialista faria uso de uma variedade de fontes informativas para alertar usuários legítimos no caso de uma ameaça cibernética ser detectada. Além dessas medidas, A disseminação de informações é um dos principais aspectos funcionais da segurança cibernética nessas tecnologias e pode ser considerada como a distribuição de informações relevantes, conforme exigido, necessário ou especificado. Renaud e Flowerday (2017) sinalizaram a importância do uso de sistemas e tecnologia para comunicar conceitos informacionais avançados e especializados (como as saídas de formulações complexas de aprendizado de máquina), bem como tipos de informações cotidianas mais generalistas com os usuários (como um real tabela de trem atualizada por tempo). Existe uma miríade de aplicações e recursos tecnológicos que se concentram principalmente na disseminação contínua de informações aos usuários. Esses avanços tecnológicos fornecem conveniência aos usuários e oferecem às corporações eficiência comercial de alto nível ( Moon et al., 2015). No entanto, nem todas as informações são apresentadas em termos leigos. As informações centradas na segurança geradas pelo sistema geralmente são difíceis de entender pelos usuários finais em geral. Em geral, são muito técnicos para serem compreendidos por usuários comuns. Além disso, os usuários têm preferências linguísticas variadas, que não correspondem ao texto. Wu e outros. (2018) propuseram uma abordagem chamada PERSCRIPTION que visa tornar as descrições centradas na segurança geradas pelo sistema no Android mais compreensíveis para os usuários. A abordagem proposta ajuda os usuários a evitar malware e aplicativos que violam a privacidade, gerando descrições de segurança que explicam a privacidade e os aspectos relacionados à segurança de um aplicativo Android em termos claros e compreensíveis. Também em termos de disseminação de informação, a representação visual é uma abordagem valiosa que considera tanto os componentes de uso quanto os de usuário. Para este fim,Giacobe e Xu (2011) propuseram uma ferramenta de visualização para segurança de rede usando o GeoViz. A ideia é dividir toda a rede de TI em zonas e visualizar os dados de log com base nas zonas. As zonas podem ser definidas em um nível abstrato, como uma zona que pode incluir desktops e a outra apenas servidores, fornecendo uma visão visual automatizada de informações técnicas que também atendem a uma finalidade funcional. Embora a intenção seja clara, é possível que as fontes de informação não sejam mantidas em termos de sua atualidade e possam ficar desatualizadas. Além disso, as informações podem ser apresentadas de forma complexa, deixando o usuário insatisfeito e sem a real compreensão da intenção das informações que foram veiculadas. Para ilustrar a função da disseminação da informação, um estudo de Iacono et al. (2017)investigou as abordagens para comunicar o grau de excesso de privilégio em aplicativos móveis. Ele usou um sistema de classificação adicional em lojas de aplicativos para informar os usuários antes de tomar a decisão de instalar um aplicativo específico. Este sistema foi avaliado em um estudo de usabilidade baseado em protótipos distintos de lojas de aplicativos Android. Os resultados mostram que os indicadores de segurança passiva podem ser aplicados para influenciar o processo de tomada de decisão dos usuários. Da mesma forma, Qu et al. (2014) desenvolveram um sistema chamado AutoCog para avaliar automaticamente as descrições em relação à necessidade de permissões. A arquitetura de design de ambientes de computação centrada no ser humano permite que os usuários acessem e usem as informações desejadas de qualquer lugar e a qualquer momento usando a computação centrada no ser humano. Isso é possível porque os ambientes de computação estão conectados a redes em todos os lugares. No entanto, as informações importantes disponíveis nesses ambientes também podem estar sempre vulneráveis ​​a invasões maliciosas ( Moon et al., 2015). Para lidar com ataques cibernéticos, as empresas usam equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusão, sistemas de prevenção de intrusão e tecnologias de segurança, como software antivírus e proteção contra perda de dados. Essas tecnologias oferecem a capacidade de detecção e resposta eficazes a ataques conhecidos porque usam listas negras ou assinaturas de ataques conhecidos. No entanto, a utilidade de tais métodos de proteção é frequentemente questionada ( Moon et al., 2015 ; Kraus et al., 2017 ). Em dispositivos móveis, a plataforma Android fornece um sistema de permissão para informar os usuários sobre os riscos potenciais da instalação de um aplicativo. Felt e cols. (2012)examinou a eficácia do sistema de permissão do Android em alertar os usuários e descobriu que os usuários prestam pouca atenção a esses avisos, levando-os a tomar decisões de segurança incorretas. No contexto da detecção de ameaças, as práticas atuais muitas vezes não são eficazes, apesar da necessidade de fornecer informações sobre questões de segurança. Atualmente, muitas decisões relacionadas à segurança precisam ser tomadas por usuários finais em geral, ou mesmo por usuários de TI com pouco conhecimento de segurança. Por exemplo, se equipamentos domésticos, como dispositivos IoT ou roteadores domésticos, forem configurados, não se espera que as pessoas contratem um especialista em segurança para fazer o trabalho técnico necessário. O usuário final em geral precisa tomar uma decisão sobre vários aspectos técnicos, como criptografia, banda de frequência, opções, etc., enquanto os sistemas são direcionados para usuários especialistas em segurança. Sem interfaces de usuário apropriadas, esses sistemas não podem interagir adequadamente com usuários finais em geral. Ambos os exemplos indicam que mais trabalho precisa ser feito para tornar a disseminação de informações utilizável.

4.2 Medidas Técnicas

A segurança do sistema geralmente é transparente para os usuários, conforme mostrado emFigura 3. As abordagens técnicas tendem a liberar os usuários da compreensão dos detalhes de segurança, mas ao mesmo tempo removem a transparência das soluções para que os usuários não consigam lidar com as situações de segurança inesperadas. Focamo-nos especificamente na criptografia e automação, uma vez que as atividades do dia-a-dia têm uma componente digital crescente que exige sigilo e integração de dados. Está se tornando cada vez mais urgente aumentar e automatizar a segurança cibernética para maximizar os resultados e minimizar o erro humano ( Grobler et al., 2012 ). No contexto da autenticação utilizável como um dos temas centrais da segurança cibernética centrada no ser humano, a autenticação baseada em senha é amplamente utilizada em sistemas de Internet. Bonneau e Preibusch (2010)estudou as diferentes práticas empregadas em 150 tipos diferentes de sites e descobriu que práticas ruins eram comumente implantadas. Por exemplo, falta de criptografia para proteger senhas transmitidas, armazenamento de senhas de texto não criptografado em bancos de dados de servidores e pouca proteção de senhas contra ataques de força bruta eram comuns entre os sites pesquisados. Além disso, vários sistemas fornecem credenciais de login padrão que permitem ataques em larga escala que podem explorar credenciais de login padrão que muitos usuários nunca mudam ou senhas de longo prazo que raramente mudam ( De Donno et al., 2018 ). A criptografia é a base da segurança e as técnicas criptográficas mais comuns são disponibilizadas por meio de bibliotecas de software. O uso indevido de bibliotecas criptográficas costuma ser a fonte de vulnerabilidades. Acar et al. (2017) realizou estudos empíricos de cinco bibliotecas python criptográficas para sua usabilidade. Eles conduziram um experimento controlado com 256 desenvolvedores Python, onde foram solicitados a tentar tarefas comuns envolvendo criptografia simétrica e assimétrica usando uma das cinco APIs diferentes. Eles observaram que 20% das tarefas funcionalmente corretas não eram seguras, embora os desenvolvedores acreditem que seu código era seguro. Portanto, embora o componente de uso possa estar em vigor, o aspecto de segurança pode não ser abordado. A automação da segurança ganhou força nos últimos tempos devido à popularidade e sucesso das técnicas de Inteligência Artificial (IA)/Machine Learning (ML) na obtenção de automação em diferentes aplicações. Isso é crítico para muitas organizações, pois elas gostam de ter um maior retorno sobre o investimento. Por um lado, não há especialistas em segurança suficientes para analisar dados de segurança e, por outro lado, os dados coletados por ferramentas de segurança estão crescendo. Existem duas soluções principais para isso: a primeira é automatizar as tarefas o máximo possível usando ferramentas AI/ML e a segunda é aumentar a usabilidade das ferramentas de segurança. Isso permitirá uma segurança cibernética centrada no ser humano que é mais equilibrada em termos dos 3Us.

4.3 Legislação, Regulamentações e Políticas

Legislação e regulamentação são instrumentos importantes para ajudar a impedir crimes de segurança cibernética (consulteFigura 3). No entanto, esses instrumentos muitas vezes parecem não levar em consideração o ser humano. Ao focar principalmente em aspectos técnicos e segurança nacional, as preocupações de segurança do usuário individual são frequentemente esquecidas, causando um efeito prejudicial na segurança de todo o sistema. O resultado é um dilema de segurança, ou seja, os esforços de um ator para aumentar a segurança de um sistema efetivamente diminuem os esforços de usabilidade de outros. Consideramos especificamente a legislação, regulamentos e políticas da organização aplicáveis ​​ao usuário legítimo. Devido à complexidade dos regulamentos específicos da jurisdição e às diferenças no direito penal em termos de crimes relacionados à tecnologia, reconhecemos sua existência, mas não investigamos especificamente essas especializações nesta pesquisa. Cavelty (2014) argumenta que a solução está em políticas de segurança que detalham a antivulnerabilidade e se baseiam em forte segurança e privacidade dos dados. Essas políticas são orientadas pela ética da infoesfera que se baseia na dignidade da informação relacionada ao ser humano, também chamada de direitos humanos digitais. Além disso, as leis só podem ser aplicadas se as autoridades estiverem cientes das infrações, daí a necessidade de detecção e relatórios precisos de ameaças. Para agravar o problema, uma violação média de dados geralmente leva mais de um mês para ser descoberta. Quando as empresas levam um tempo considerável para descobrir (ou não sabem) da violação, isso cria uma janela de oportunidade em que o conjunto de dados vazado está disponível para qualquer pessoa descobrir ( Swart et al., 2014 ). Outra consideração dentro do uso é se uma ação específica é aplicada por uma regra especificada em um documento normativo autoritário, como uma estrutura de política organizacional, lei ou regulamento. A falta de políticas fortes e aplicadas e a falibilidade humana podem causar implicações não intencionais para a privacidade online dos usuários. Um arcabouço legal adequado deve levar em consideração a tecnologia subjacente e seria melhor estabelecido por um legislador internacional, que é complementado pelo setor privado de acordo com necessidades específicas e, assim, torna-se facilmente ajustável ( Weber, 2010 ) . Na esteira da explosão tecnológica, Grobler et al. (2012)recomendou cinco elementos que devem estar presentes no desenvolvimento de uma estratégia nacional para uma abordagem e cultura eficazes de segurança cibernética no âmbito da legislação aplicável: vontade política, estruturas organizacionais adaptadas, medidas proativas e reativas precisas, oportunidades criminosas reduzidas e educação e conscientização. Além disso, o conteúdo da legislação desenvolvida deve abranger disposições como o direito à informação, o uso de mecanismos da IoT, proibição ou restrição quanto ao uso de mecanismos da IoT, regras sobre legislação de segurança de TI e a criação de uma força-tarefa fazendo pesquisas sobre os desafios legais da IoT ( Weber, 2010 ). Em todas as instâncias, as medidas legislativas e regulatórias devem concomitantemente elevar o nível de risco percebido por um criminoso e diminuir o contexto favorável para perpetrar uma ação ilegal ( Grobler et al., 2012 ). De igual modo, as medidas legislativas e regulamentares devem também aumentar o risco percebido pelos utilizadores que assumem um papel de desconhecimento na aplicação de determinadas medidas técnicas. Nesse sentido, a pesquisa de Raschke et al. (2017b)discute o design do painel de privacidade utilizável e compatível com o Regulamento Geral de Proteção de Dados (GDPR) para lidar com a incerteza sobre como lidar com as tecnologias existentes em conformidade com a lei GDPR de 2016. Eles projetaram um painel para permitir e facilitar a execução dos direitos de privacidade de dados de acordo com o GDPR. O painel fornece as interações entre os titulares de dados e o controlador de dados. O painel foi projetado usando o ciclo de vida de engenharia de usabilidade da Nielson. Apesar da presença de estruturas de políticas, os comportamentos dos usuários e das organizações fazem com que o sistema de segurança cibernética falhe. Muitas políticas organizacionais oferecem suporte a uma abordagem bastante estática, em que a mesma política é usada por vários anos sem considerar a evolução do cenário de ameaças cibernéticas. Além disso, as organizações, em grande medida, seguem uma abordagem de caixa de seleção, sem consideração real pela intenção real em termos de segurança cibernética. Sua incapacidade de aprender e se adaptar dinamicamente abre as portas para ameaças avançadas. Essas fraquezas na governança de segurança criam lacunas e vulnerabilidades de controle sistêmico ( Julisch, 2013 ). A recomendação é afastar-se do excesso de confiança existente na TI e, em vez disso, focar na interação entre o sistema e os usuários do sistema. A próxima seção investiga o componente de usabilidade com mais detalhes. Vá para:

5 Usabilidade

Apesar dos investimentos significativos, ainda existem grandes deficiências na segurança cibernética, especialmente em termos de adoção real de segurança utilizável. Embora os humanos sejam os usuários mais ativos em termos de medidas de segurança cibernética, ao contrário das medidas de segurança de sistemas automatizados que também requerem algum nível de interação humana, Julisch (2013)argumenta que a maioria dos investimentos em segurança está focada no desenvolvimento de soluções técnicas, e essas soluções técnicas sozinhas não podem resolver o problema. Postulamos que as decisões relativas à segurança são baseadas na intuição do usuário, e não nos dados, e argumentamos que nenhuma das soluções de segurança em que humanos estão envolvidos (por exemplo, interfaces de permissão do Android) são projetadas com base em estudos de usuários. A menos que esse problema seja resolvido e as ferramentas sejam desenvolvidas com base em estudos de usuários, é difícil produzir ferramentas de segurança utilizáveis. Na maioria dos componentes de usabilidade discutidos, a falta de consideração pelo elemento humano e pelo comportamento humano representa alguma barreira para uma implementação bem-sucedida.Figura 4demonstra a visão de usabilidade onde o sistema se adapta às expectativas e requisitos do usuário em termos de segurança cibernética. Nesta seção, revisamos os dois componentes de usabilidade da segurança cibernética: fatores de experiência e fatores de interação. Diagram of a diagram of a user experience Description automatically generated FIGURA 4 Cibersegurança: perspectiva de usabilidade.

5.1 Fatores de Experiência

A experiência é inerente à usabilidade, com a usabilidade contribuindo diretamente para a experiência geral do usuário. O sucesso da análise comportamental na segurança cibernética é, portanto, tornar a segurança cibernética pessoal para o usuário, ou seja, o sistema é projetado não apenas para defender a si mesmo e ao usuário legítimo contra ataques maliciosos, mas também se adaptando para atender o usuário em seu uso do sistema. Stobert e Biddle (2014)recomendam que as abordagens analíticas comportamentais bem-sucedidas devem envolver comportamento perspicaz e autogerenciamento cuidadoso dos recursos do usuário. Para esse fim, eles desenvolveram um ciclo de vida de senha que evolui com o usuário e altera os requisitos de segurança para aproveitar o comportamento do usuário existente, limitando as consequências negativas. Os usuários devem sentir uma sensação de perda pessoal se sua conta for comprometida para entender completamente as consequências negativas de seu próprio comportamento inadequado de segurança cibernética ( Tam et al., 2010 ). Em termos de funcionalidade, a disseminação de informações não é totalmente adaptada para humanos. Observa-se que as informações relacionadas à segurança nem sempre estão prontamente disponíveis para os usuários ( Iacono et al., 2017 ) e que as questões de segurança não são comunicadas em termos públicos em geral. Os problemas de resposta adequada a eventos cibernéticos são ainda mais exacerbados quando a tecnologia de segurança é percebida como um obstáculo para o usuário. O usuário pode ficar sobrecarregado com as dificuldades na implementação da segurança ou pode desconfiar, interpretar mal ou substituir as configurações de segurança ( Pfleeger e Caputo, 2011) em resposta a uma experiência negativa do usuário. Esse ‘comportamento de resistência’ geralmente é visível quando os usuários se deparam com uma alteração de senha obrigatória ou quando etapas adicionais precisam ser tomadas para garantir a segurança adequada, como examinar as permissões de aplicativos móveis antes da instalação ou carregar hardware adicional necessário para autenticação multifator ( Krol et al., 2015 ). Braz e Robert (2006) fizeram um estudo exaustivo sobre a usabilidade da autenticação multifator e descobriram que ela fortalece significativamente a segurança por meio da redundância, mas tem um impacto negativo perceptível na usabilidade. Krol et ai. (2015) observam especificamente que, quando a segurança não é a principal tarefa em mãos, os usuários geralmente ficam frustrados com tarefas complexas de autenticação. As pessoas estão cada vez mais usando seus smartphones para interagir com a Internet. Isso levou a um interesse crescente na personalização da segurança de espaços inteligentes. Para esse fim, Greaves e Coetzee (2017) propõem um espaço inteligente pessoal local baseado em proximidade. A ideia é fornecer controle de acesso baseado em contexto para conteúdo compartilhado em dispositivos móveis. Da mesma forma, Lebeck et al. (2018)estudou as preocupações de segurança, privacidade e segurança na tecnologia imersiva de realidade aumentada (AR) realizando estudos de usuários. Ao contrário de outros estudos em que o foco está em usuários individuais com um dispositivo, este estudo se concentra em vários usuários, cada um com seu próprio dispositivo AR, mas compartilhando o mesmo espaço e interagindo com os mesmos objetos incorporados. O estudo destacou a necessidade de um design centrado no ser humano para a segurança, privacidade e proteção em aplicativos AR. Para uma experiência de usuário positiva e um processo de autenticação ideal, Krol et al. (2015) sugerem menos etapas e nenhum requisito para tokens de autenticação adicionais. Para aprimorar essa experiência, Aumi e Kratz (2014) desenvolveram uma técnica de autenticação biométrica, AirAuth, que usa a entrada de gestos no ar para autenticar os usuários. Essa técnica requer apenas uma pequena quantidade de poder computacional e pode ser implantada em hardware embarcado ou móvel. Até certo ponto, a senha tradicional e a autenticação baseada em PIN são um compromisso entre o nível de segurança e a experiência. Em contraste com muitos dos métodos de autenticação tradicionais, a segurança do sistema de autenticação baseada em gestos está positivamente alinhada com a experiência e o entusiasmo. 5.2 Fatores de Interação A segurança cibernética centrada no ser humano torna-se mais importante com o surgimento de sistemas físicos cibernéticos, pois muda a maneira como os usuários interagem com o mundo físico. À medida que o espaço cibernético se torna um intermediário entre os humanos e o mundo físico, as soluções de segurança precisam ser mais compreensíveis e utilizáveis ​​( Denning et al., 2009 ; Rajkumar et al., 2010 ), e a interação precisa ser intuitiva e focada no usuário. Dourish et ai. (2004) argumentam que as soluções de segurança devem considerar fatores de interação específicos que possam melhorar o uso humano de computadores (Figura 4). Tanto Haack et al. (2009) e Tyworth et al. (2013) defendem a segurança cibernética de iniciativa mista, em que o foco é colocado em humanos no loop, ou seja, o humano ( Seção 3 ) e o sistema cibernético ( Seção 4 ) trabalhando juntos em direção à usabilidade. Este conceito de human-in-the-loop é mais comumente referido como orquestração, onde o objetivo é fazer com que todos os níveis de usuário se sintam confortáveis ​​para interagir com o sistema. Neste contexto, a segurança cibernética centrada no ser humano requer interação totalmente integrada entre o sistema e o usuário, onde o comportamento do usuário se reflete na forma como o sistema interage com ele, ou seja, o sistema gera uma interface diferente com conteúdo variado, dependendo da entrada dada pelo usuário. A evolução e o uso mais onipresente da IoT tiveram um efeito cascata sobre como e onde os usuários se integram à tecnologia. A IoT não é apenas uma aplicação frutífera da tecnologia que pode, em grande medida, facilitar a vida do usuário, mas, inversamente, a ameaça de fusão da IoT apresentada em ambientes de segurança, privacidade e proteção, já que os objetos físicos agora estão interagindo com cibersegurança. espaço. Riahi et al. (2014) desenvolveu, portanto, uma estrutura para a segurança da IoT, onde o ser humano assume um papel central. A estrutura usa quatro componentes principais: pessoas, objetos inteligentes (sensores e atuadores), ecossistema tecnológico (comunicação, protocolos, sistemas) e processo (interações entre eles). Esses componentes são discutidos a seguir, com exceção do componente de pessoas, pois este já foi discutido emSeção 3 .

5.2.1 Objetos Inteligentes

Embora os smartphones agreguem valor e contexto à interação centrada no ser humano, essas interfaces não são óbvias para os usuários e podem ser usadas para extrair informações privadas de maneira furtiva. O desafio é projetar uma interface de permissão utilizável do ponto de vista da privacidade. Gerber e outros. (2017)estudou especificamente dois fatores-chave na concepção de privacidade utilizável, compreensibilidade e abrangência no contexto de aplicativos Android. A compreensibilidade aumenta a qualidade da informação fornecida aos usuários, enquanto a abrangência aumenta a qualidade da decisão tomada pelos usuários. O equilíbrio certo entre esses dois fatores é um desafio. Os autores propuseram uma interface de concessão de permissão, denominada COPING (COmprehensive PermIssioN Granting), e compararam com outras interfaces. O objetivo é informar efetivamente os usuários para que tomem decisões de qualidade.

5.2.2 Ecossistema Tecnológico

O ecossistema procura a integração de todos os componentes em uma unidade coesa. Embora haja muitos benefícios em um ecossistema tão integrado, essa conexão aumenta o vetor de ataque cibernético. Por exemplo, Bonneau e Preibusch (2010) observaram que sites mais seguros são vulneráveis ​​por meio de sites menos seguros, pois muitos usuários usam a mesma senha em muitos sites ou os sistemas incorporam acesso prioritário de terceiros em seu design de sistema. Particularmente na área de interação cibernética, consideramos tecnologias emergentes, como mídia social, computação em nuvem, computação móvel pervasiva, big data e IoT. A pesquisa de Wijayarathna et al. (2017)considerou especificamente a interação dos desenvolvedores de sistemas e as Interfaces de Programação de Aplicativos (APIs) que eles usam. Eles descobriram que os problemas de usabilidade existentes nas APIs de segurança fazem com que os programadores incorporem essas APIs de segurança incorretamente nos aplicativos que desenvolvem. Isso resulta na introdução de vulnerabilidades de segurança nesses aplicativos. Para resolver esse problema, eles implementaram uma metodologia de avaliação de usabilidade usando dimensões cognitivas para avaliar a usabilidade de APIs de segurança.

5.2.3 Processo

Atrelado à necessidade de uma experiência positiva, o processo de segurança precisa ser adequado ao usuário. Um exemplo desse processo positivo é apresentado por Wu et al. (2018) no desenvolvimento de PERSCRIPTION, um sistema projetado para gerar descrições centradas em segurança personalizadas que aprendem automaticamente as preocupações de segurança e preferências linguísticas dos usuários para produzir descrições orientadas ao usuário. Esse processo não apenas comunica o uso do sistema necessário e as informações da política de segurança ( Seção 4.3 ), mas também se adapta ao usuário ( Seção 3 ) para fornecer uma experiência positiva ( Seção 5.1 ). Do ponto de vista do projetista do sistema, Senarath et al. (2019)propuseram um modelo que poderia ser usado por desenvolvedores de sistemas para medir o risco de privacidade percebido pelos usuários quando eles divulgam dados em sistemas de software. Este modelo é derivado com base no risco de privacidade percebido pelos usuários, com base em seu conhecimento existente do sistema e em seus próprios dados. Vá para:

6 Discussão

Com base no levantamento bibliográfico realizado, concordamos com Adams e Sasse (1999) que não é o usuário o elo mais fraco. Na verdade, a desconexão dos seres humanos (incluindo especialistas em segurança, projetistas e implementadores de sistemas de segurança, bem como usuários finais em geral) forma o elo mais fraco que deve ser abordado na segurança cibernética centrada no ser humano. Argumentamos que as vulnerabilidades humanas não são mais o problema mais proeminente, mas sim a desconexão entre os humanos e os sistemas dos quais dependem. É a falha de todos os humanos envolvidos no sistema, e não apenas do usuário final, que deve ser reconhecida e integrada em uma solução centrada no ser humano para a segurança cibernética.

6.1 Aplicação do Modelo 3U

Há uma necessidade definitiva de tecnologias que possam ajudar a superar as barreiras entre usuário, uso e usabilidade para melhor atender às necessidades de segurança e privacidade. O estudo conceitual que realizamos levou ao desenvolvimento deste novo modelo 3U para explicar a abordagem de segurança cibernética a ser adotada para garantir um foco totalmente centrado no ser humano. Ao definir o modelo 3U para segurança cibernética centrada no ser humano, propomos uma mudança de paradigma dos usuários como o elo mais fraco, incorporando a segurança cibernética centrada no usuário para envolver o ser humano na solução do design do sistema. Este modelo visa estabelecer uma linha de base para a segurança cibernética centrada no ser humano, garantindo que todos os três componentes sejam abordados. O modelo 3U tem como objetivo entender melhor as percepções em torno do aplicativo de segurança cibernética, de uma perspectiva centrada no ser humano. Como um mecanismo projetado para fornecer insights sobre a melhor integração de todos os componentes relevantes para os sistemas de segurança cibernética, o entendimento gerado pelo foco nos três componentes se estende além do entendimento tradicional da segurança cibernética. Este modelo integra a mudança de paradigma para a segurança cibernética centrada no ser humano para determinar a importância relativa que os usuários do sistema percebem ao permitir e apoiar o uso contínuo de seus sistemas. Argumentamos que a abordagem da segurança cibernética precisa mudar do desenvolvimento de sistemas de tamanho único para usuários (topo) para o desenvolvimento de sistemas personalizáveis ​​e personalizados com usuários (parte inferior), conforme ilustrado emFigura 5. O estudo da segurança cibernética deve ir além das vulnerabilidades de uso e usabilidade, e abranger também as vulnerabilidades do usuário. Em última análise, a tecnologia precisa ser utilizável por todos os usuários. Para permitir isso, os projetos de sistema devem capturar diferentes personalidades do usuário dentro da funcionalidade do sistema. A diagram of a security system Description automatically generated FIGURA 5 – Cibersegurança centrada no ser humano: mudança de paradigma. A natureza em tempo real das ameaças cibernéticas exige que os humanos não se tornem gargalos ( Haack et al., 2009 ) e, portanto, os departamentos de segurança precisam se comunicar mais com os usuários para adotar totalmente uma abordagem de design centrado no usuário ( Adams e Sasse, 1999 ) . Essencialmente, a conscientização sobre segurança cibernética não deve ser direcionada apenas aos usuários finais gerais (no sentido tradicional, referindo-se ao usuário final do sistema ou usuário final geral). Em vez disso, deve ser considerado como uma comunicação multidirecional entre usuários finais em geral, especialistas em segurança e desenvolvedores de sistemas. Os usuários finais precisam estar cientes das consequências de segurança cibernética nos sistemas que usam, ou seja, o que acontecerá comigo e com meus dados pessoais se eu não usar uma senha forte e segura e como isso pode afetar a funcionalidade do sistema?Da mesma forma, o sistema cibernético (através do projetista do sistema) precisa estar ciente dos fatores do usuário para acomodar as necessidades do usuário ao fornecer sistemas de segurança cibernética utilizáveis, ou seja, considerei todos os tipos de usuários que podem interagir com este sistema? Além disso, os especialistas também precisam estar cientes das características do usuário, pois isso ajudaria a identificar as vulnerabilidades relacionadas ao usuário. Essa comunicação multidirecional é a única maneira de alcançar não apenas a segurança cibernética centrada no sistema ou no usuário, mas também a verdadeira segurança cibernética centrada no ser humano.

6.2 Estudo de Caso

A aplicação do modelo 3U é um processo iterativo em que os componentes de design se combinam para formar uma abordagem de modelagem holística para projetar e desenvolver um sistema. Cada um desses componentes, com seu próprio conjunto de inclusões, exclusões e áreas de foco, seria construído separadamente para garantir que os aspectos relevantes de segurança cibernética sejam suficientemente considerados para apresentar um modelo integrado. O contexto pode variar de acordo com o sistema específico que está sendo implementado. Apresentamos um estudo de caso para demonstrar como a aplicação do modelo 3U pode fornecer uma perspectiva centrada no ser humano em segurança cibernética. Consideramos uma instância genérica de um sistema de serviço do governo nacional e mapeamos o exemplo de requisito de autenticação em relação aos respectivos elementos componentes 3U. Neste exemplo, o modelo 3U fornece um ponto de vista conceitual e se concentra em entender melhor todos os componentes de segurança cibernética centrados no ser humano, e não em áreas e riscos de segurança específicos, ou como o sistema precisa se adaptar. Várias questões são sugeridas para cada um dos três componentes, para explorar indicadores críticos que podem ser incorporados em cada componente. As perguntas listadas não são exaustivas, mas sim um ponto de partida para um processo de design iterativo. Este processo destina-se a orientar o co-design e desenvolvimento de um sistema mais centrado no ser humano. As perguntas listadas não são exaustivas, mas sim um ponto de partida para um processo de design iterativo. Este processo destina-se a orientar o co-design e desenvolvimento de um sistema mais centrado no ser humano. As perguntas listadas não são exaustivas, mas sim um ponto de partida para um processo de design iterativo. Este processo destina-se a orientar o co-design e desenvolvimento de um sistema mais centrado no ser humano.

6.2.1 Usuário

Neste exemplo, consideramos usuários finais gerais , gerentes de TI e desenvolvedores de sistema entre vários usuários legítimos que interagiriam com o sistema. Ao considerar este componente para os usuários, considere que: se um usuário não sentir que um sistema é adequado em termos do que gostaria de ver no sistema, a probabilidade de o sistema ser totalmente explorado e usado conforme pretendido diminuirá . Por exemplo, se um sistema de serviço do governo exigir autenticação e apenas autenticação multifatorial usando smartphones for fornecida, um refugiado recém-migrado que não tenha acesso a um smartphone ou uma pessoa com deficiência que não consiga usar um smartphone terá menos probabilidade de utilizar o serviço através da plataforma digital.
  • Demografia e cultura – Uma linha de base para o perfil do usuário pode ajudar a identificar fatores que contribuem para o aumento de comportamentos de risco online e, assim, desenvolver estratégias de mitigação.
    • -Quem são os usuários finais, qual é sua demografia, contexto cultural?
    • -A idade, sexo, educação, etc. têm algum impacto na forma como o usuário pode usar o sistema?
    • -Os gerentes de TI têm uma maneira apropriada e segura de permitir o acesso a usuários finais que possam ter necessidades excepcionais?
    • – Os projetistas de sistemas têm perfis de usuário correspondentes ou acesso a pessoas com esses perfis de usuário?
  • Consciência situacional – Educação e treinamento podem melhorar a consciência e a percepção dos usuários em relação à situação de segurança cibernética.
    • -O usuário tem um conhecimento básico de segurança na Internet?
    • -Os usuários podem se relacionar com questões de segurança cibernética em seu mundo físico?
    • -Os educadores podem adaptar os materiais de formação às experiências anteriores dos formandos?
  • Psicologia e comportamento – Os sistemas que atendem às necessidades psicológicas e de segurança têm melhor desempenho em comparação com os sistemas que atendem apenas às necessidades de segurança.
    • -Um usuário estaria alternando entre diferentes funções, ou seja, passando de usuário legítimo para usuário mal-intencionado ou de usuário final para designer de sistema?
    • -O sistema está aberto para um usuário correr riscos recreativos?
    • -Existe uma incompatibilidade entre as percepções dos usuários e a realidade do sistema?
  • Fatores cognitivos – Compreender os fatores cognitivos dos usuários pode ajudar a selecionar e/ou desenvolver sistemas que funcionem para eles.
    • -O modelo de segurança é fácil de relacionar com as experiências cotidianas dos usuários?
    • -Alguns modelos mentais do usuário são aplicáveis ​​em relação à percepção de segurança do sistema?

6.2.2 Uso

Este componente se preocupa com aspectos funcionais e de segurança do sistema, especificamente com medidas tecnológicas e não tecnológicas. Ele determina uma linha de base das expectativas, intenção e probabilidade do usuário de usar continuamente o sistema para a finalidade pretendida: se um usuário sentir que a finalidade de um sistema não é adequada às suas necessidades ou se as medidas de segurança implementadas forem excessivamente restritivas, a probabilidade de o sistema ser totalmente utilizado diminuirá . Por exemplo, se o sistema tiver uso múltiplo, como fornecer informações públicas, fóruns de discussão e informações personalizadas para os usuários, ter um único mecanismo de autenticação pode não ser apropriado.
  • Medidas funcionais – Uma linha de base das principais áreas funcionais fornecidas pelo sistema deve ser identificada para priorizar a visibilidade funcional de valor agregado, bem como para fornecer um nível apropriado de segurança.
    • -Quais são as principais funções deste sistema e todas as funções requerem o mesmo nível de segurança?
    • -Existe uma maneira alternativa e menos restritiva de fornecer a mesma segurança para alcançar o uso funcional?
    • -Devem ser fornecidos diferentes mecanismos de autenticação para diferentes tipos de usuários?
  • Medidas técnicas – Mecanismos de segurança transparentes devem ser implementados para fornecer segurança integrada.
    • -Um usuário precisa entrar novamente se já estiver em uma zona de rede segura?
    • – A autenticação por meio de login único corporativo ou conta de terceiros, como uma conta do Google ou do Facebook, seria adequada?
    • -O uso de gerenciadores de senhas é incentivado neste sistema?
  • Legislação, regulamentos e políticas – A inclusão de elementos legislativos que dariam suporte a níveis mínimos apropriados de segurança cibernética nos sistemas.
    • -Existem leis ou regulamentos específicos que ditam requisitos específicos em termos de uso?
    • -Existem políticas de organização que garantem o uso adequado do sistema ou podem influenciar a escolha do design do sistema?

6.2.3 Usabilidade

O componente de usabilidade se concentra em quão bem o sistema pode ser usado pelo usuário real. Do ponto de vista do design do sistema, este componente é crítico ao fornecer valor agregado e recursos de design com a premissa de que: se o usuário encontrar benefícios em usar o sistema e associar experiências positivas ao seu uso, a probabilidade de o sistema ser usado por um longo prazo vai aumentar . Por exemplo, se o sistema se concentra em uma abordagem de design minimalista e fornece acesso baseado em console, ele pode oferecer apelo limitado aos usuários que precisam de interfaces gráficas de usuário estendidas para se conectar ao sistema.
  • Fatores de experiência – Fatores que contribuem para uma experiência positiva ajudariam no desenvolvimento de um foco centrado no ser humano.
    • -Os usuários experimentam uma perda significativa de anonimato no cenário da tecnologia moderna?
    • -Os usuários percebem que estão deixando rastros digitais enquanto consomem mídia moderna e que esses rastros são arquivados?
    • -Qual é a posição dos usuários sobre anonimato versus usabilidade?
  • Fatores de interação – Fatores que suportam a interação entre o usuário e o sistema estão em melhor posição para fornecer experiências utilizáveis.
    • -O aumento do uso de smartphones para acessar dados pessoais e corporativos introduz problemas adicionais de usabilidade como resultado de esquemas de autenticação no nível do dispositivo, particularmente em termos de teclados relativamente pequenos em smartphones?
    • -Os componentes do sistema podem ser melhor integrados para fornecer uma melhor experiência aos usuários humanos?
Vá para:

7 Conclusão e Direções Futuras

O design de sistema centrado no ser humano está ganhando força. Desde a introdução original da interação humano-computador em 1960 ( Renaud e Flowerday, 2017 ), um progresso significativo foi feito em termos da evolução do conceito de usabilidade para integrar um compromisso concreto de valorizar a atividade e as experiências humanas como o principal impulsionador da tecnologia ( Carol , 2013 ). A mudança de um foco puro no uso para uma consideração pelo comportamento humano é um forte movimento em direção à segurança cibernética centrada no ser humano e contribuirá para um melhor uso e usabilidade dos sistemas. O trabalho aqui apresentado fornece uma linha de base para a compreensão e incorporação de um design holístico de sistema de segurança cibernética centrado no ser humano, e não uma visão exaustiva dos avanços tecnológicos e automação no campo da segurança cibernética. Ao focar em três componentes exclusivos, esta revisão visa incorporar o conceito de segurança invisível, ou seja, a automação de tarefas seletivas de segurança cibernética, mantendo a capacidade do usuário humano de permanecer no circuito e utilizar inteligência colaborativa entre o humano e o a tecnologia para promover o domínio da segurança cibernética. Historicamente, os usuários são considerados o elo mais fraco da segurança cibernética ( Tsinganos et al., 2018 ), embora nem sempre sejam os culpados pelos comprometimentos da segurança ( Adams e Sasse, 1999). A eficácia de muitas medidas de segurança cibernética é questionada após eventos de segurança contundentes, e há um estigma definido associado aos usuários no espaço cibernético, principalmente como resultado de vários eventos e violações de segurança cibernética decorrentes de comportamentos cibernéticos inadequados dos usuários . Ao conduzir esta revisão sobre segurança cibernética centrada no ser humano, nosso objetivo era entender melhor o ecossistema desse domínio. Ao investigar a literatura atual com foco nos componentes 3U, identificamos áreas de pesquisa que já estão fortemente ligadas a um foco centrado no ser humano, como autenticação utilizável, mas também identificamos áreas que ainda não são geralmente associadas a um foco humanístico, em particular o compartilhamento de dados com foco em privacidade e segurança. Muitos estudos enfatizam os componentes do usuário que consideram as diferenças demográficas e de habilidades do indivíduo, personalidade e cargas cognitivas ou vieses para alimentação negativa em direção à segurança. Ao olhar para o domínio de uso, percebemos que os usuários de um sistema de segurança cibernética não são apenas usuários leigos, mas também especialistas que implantam o sistema e desenvolvedores que tentam se defender contra adversários. Concluímos considerar todos esses humanos envolvidos no ecossistema de segurança cibernética como parte de estudos de segurança cibernética centrados no ser humano. Além disso, propomos que a estrutura 3U pode ajudar a entender melhor a interconexão entre segurança humana e cibernética, desenvolver sistemas utilizáveis ​​e elevar os usuários a serem o elo mais forte dentro do espaço de segurança cibernética. De acordo, A HCI pode ser otimizada para garantir uma experiência positiva que integre o usuário do sistema e o uso funcional do sistema. Recomendamos que a futura pesquisa e design de segurança cibernética centrada no ser humano se concentre em facilitar a colaboração entre todos os humanos que formam o ecossistema de segurança cibernética. Isso pode ajudar a evitar grande parte dos eventos de segurança cibernética, tornando o ambiente online mais seguro e protegido. Por meio do design colaborativo e do desenvolvimento separado, nosso modelo 3U proposto deve ser considerado como o passo inicial para o desenvolvimento de tecnologias eficazes de segurança cibernética e sua melhor adoção por meio da adesão sustentada e do envolvimento contínuo do domínio estendido da segurança cibernética centrada no ser humano. A revisão detalhada da construção desses componentes é uma extensão futura desta pesquisa inicial exploratória da literatura. É necessário mais trabalho de pesquisa empírica para garantir a validade dos componentes detalhados e para testar se a aplicação dos componentes 3U abordaria as questões da adoção da tecnologia de segurança cibernética e o dilema de segurança colocado. O trabalho futuro também incluirá uma discussão detalhada sobre como os diversos componentes do modelo 3U podem ser utilizados especificamente para desenvolver um sistema de segurança cibernética totalmente integrado que encorajaria comportamentos adaptativos em todos os componentes para um ambiente mais seguro sustentado e colaborativo. Em última análise, um sistema de segurança cibernética totalmente centrado no ser humano reduziria a vulnerabilidade dos sistemas, reduziria a necessidade de treinamento reativo em segurança cibernética, limitaria o escopo do dilema de segurança e encorajaria a segurança invisível, mantendo os humanos informados. Artigo traduzido e adaptado de: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7968726/, acessado em 18 de julho de 2023. Published online 2021 Mar 10. doi: 10.3389/fdata.2021.583723 Grobler M, Gaire R, Nepal S. User, Usage and Usability: Redefining Human Centric Cyber Security. Front Big Data. 2021 Mar 10;4:583723. doi: 10.3389/fdata.2021.583723. PMID: 33748750; PMCID: PMC7968726. Autores: Marthie Grobler , 1, * Raj Gaire , Surya Nepal 3 1CSIRO’s Data61, Distributed Systems Security, Melbourne, VIC, Australia 2CSIRO’s Data61, Distributed Systems Security, Canberra, ACT, Australia 3CSIRO’s Data61, Distributed Systems Security, Sydney, NSW, Australia Edited by: Indrajit Ray, Colorado State University, Fort Collins, CO, United States Reviewed by: Daniela Seabra Oliveira, University of Florida, Gainesville, United States Chhagan Lal, University of Padua, Italy Soon Chun, The City University of New York, United States Copyright © 2021 Grobler, Gaire and Nepal. This is an open-access article distributed under the terms of the Creative Commons Attribution License (CC BY). The use, distribution or reproduction in other forums is permitted, provided the original author(s) and the copyright owner(s) are credited and that the original publication in this journal is cited, in accordance with accepted academic practice. No use, distribution or reproduction is permitted which does not comply with these terms.
Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis, Análise da Conduta Humana

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Criminal Profiler e Perito em Forense Digital | Criminal Profiling & Behavioral Analysis | Entrevista Investigativa | OSINT, HUMINT | Neurociências e Comportamento | Autor, Professor

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik M.S., V.S.M. Supervisory Special Agent, F.B.I. (Ret.) e especialistas da Sección de Análisis del Comportamiento Delictivo (SACD - formada por expertos en Psicología y Criminología) da Guarda Civil da Espanha, chancelado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics. Segurança da Informação, Software Developer