Situações intensas exigem que os especialistas em segurança e as partes interessadas estejam calmos e focados, mas é mais fácil falar do que fazer. Contudo, para que isso aconteça, é preciso saber reconhecer os estágios emocionais de uma violação de dados.
Geralmente acontece em uma tarde de sexta-feira, por volta das 16h ou 17h. Administradores e especialistas em segurança recebem uma mensagem informando que algo estranho pode estar acontecendo, e a tarde tranquila se transforma em caos.
Violações de dados e outros incidentes de segurança tendem a irritar a todos. Ou seja, desde equipes que tentam corrigir o problema até as principais partes interessadas. portanto, todos eles podem experimentar uma ampla gama de sentimentos, incluindo negação nos primeiros momentos, seguido de puro pânico, raiva, ansiedade e, às vezes, culpa. Não é incomum experimentar uma frequência cardíaca elevada, sudorese, tremores ou náuseas, e esses eventos podem até desencadear problemas de saúde mental. Então, estar atento aos estágios emocionais de uma violação de dados é muito importante.
“Já tive administradores que não aguentaram e saíram”, diz Peter Mackenzie, diretor da equipe de resposta a incidentes da Sophos. Contudo, eles não foram os únicos a sofrer com isso. Afinal, “essas emoções podem se tornar virais, espalhando-se por toda a organização”, diz o Dr. Patrick Stacey, que publicou um artigo sobre as reações emocionais e respostas de enfrentamento dos funcionários durante um ataque cibernético. À medida que o estresse aumenta, os executivos de nível C e os membros do conselho tendem a ficar nervosos, pressionando os profissionais de tecnologia a resolver o problema rapidamente.
Respeite os estágios emocionais de uma violação de dados
No entanto, esse tipo de pressão nunca ajuda, diz Michael Sjøberg, especialista em sobrevivência de reféns e gerenciamento de crises que trabalhou para o Exército dinamarquês e agora é negociador de ransomware.
“Quanto mais intensa a situação parece ser, mais nós, como humanos, tendemos a ser reativos e agir sem pensar”, diz ele.
Como uma organização lida com um incidente de segurança cibernética pode decidir seu destino. Portanto, os profissionais de tecnologia e as partes interessadas precisam fazer as ligações certas o tempo todo. Ou seja, permanecer calmo e sereno é essencial durante uma crise, mas também antes de começar. E a cadeia de emoção pode começar muito mais cedo. Justamente por isso, conhecer os estágios emocionais de uma violação de dados é fundamental.
A frustração pode aparecer mesmo antes de uma violação de dados
Profissionais de segurança e administradores que protegem organizações geralmente se sentem como Sísifo rolando uma pedra enorme montanha acima, apenas para que ela rolasse sempre. Afinal, muitas vezes, eles nem conseguem fazer com que os funcionários sigam regras simples, como ter senhas exclusivas ou instalar as atualizações mais recentes.
Não obstante, eles também têm problemas em convencer o conselho de que a segurança é essencial. 98% dos especialistas em segurança disseram que não têm financiamento adequado para comprar serviços e equipamentos e implementar as políticas necessárias, de acordo com uma pesquisa realizada pela Lastline durante a RSA Conference 2019. Além disso, 23% argumentaram que seria necessário um ataque bem-sucedido contra sua organização para que os executivos oferecessem apoio financeiro suficiente.
Então, embora os administradores e profissionais de segurança saibam o que deve ser feito para manter a organização segura, eles não conseguem convencer ninguém a ouvi-los. Portanto, pode haver “um ar de frustração e irritação dentro da equipe de segurança porque eles estão sempre sendo enganados”, diz Stacey.
Embora eles tenham enviado muitos sinais de alerta ao longo do caminho, quando uma violação realmente acontece, os administradores e a equipe de segurança são os que mais sofrem. Afinal, o momento “eu avisei” é seguido de ansiedade, cansaço e noites mal dormidas. Dessa forma, a frustração é o primeiro dos estágios emocionais de uma violação de dados.
Estágios emocionais de uma violação de dados após o incidente
Durante um incidente, as coisas acontecem muito rapidamente e os profissionais de tecnologia envolvidos tendem a sentir uma mistura de emoções. Isso inclui um choque inicial seguido de negação, culpa, raiva, pânico, medo ou ansiedade. “Mesmo que você tenha se preparado para isso, o cérebro tende a desligar”, diz Sjøberg.
As primeiras horas de um incidente são caóticas. Mackenzie as chama de “fase do caos”. “Você fica em pânico cego, onde as pessoas começam a arrancar cabos de energia, desligando tudo e cortando a internet para o mundo porque não têm ideia do que fazer, além de simplesmente parar as coisas”, diz ele.
Contudo, alguns administradores e especialistas em segurança podem somatizar durante essas horas insuportáveis, convertendo suas preocupações psicológicas em sintomas físicos. Mackenzie se lembra de um incidente em que uma pequena cidade nos EUA foi atingida pelo ransomware Conti. O administrador, que estava ao telefone, disse que tinham backups, mas depois foi verificá-los. Mackenzie ouviu silêncio por um minuto. “Então eu o ouvi vomitar na sala”, diz ele. “Os backups se foram, eles perderam todos os dados dos sistemas judiciais ou os registros da polícia, tudo se foi. Eles não tinham nada.”
Arrancar cabos de energia e experimentar sintomas físicos é uma reação natural a algo intenso acontecendo. Estas são todas as reações humanas ao estar sob estresse.
“Pode ser extremamente devastador perceber que não apenas as pessoas estiveram em sua rede. Elas pegaram coisas de sua rede, destruíram coisas de sua rede, e não apenas para seus negócios, mas dados de clientes ou registros policiais e hospitalares”, diz Mackenzie.
Pense antes de agir
Sjøberg acrescenta que alguns administradores e especialistas em segurança podem se sentir pressionados a consertar tudo imediatamente. Contudo, geralmente essa é uma decisão ruim. Afinal, “muitas vezes não é que eles estejam fazendo algo errado, mas algumas coisas podem ser mais importantes que outras”, diz Sjøberg. Portanto, ao invés de agir, ele recomenda que entrem em contato com o responsável pela gestão de crises.
Os estágios emocionais de uma violação de dados e a mistura de emoções sentidas durante as primeiras horas de um ataque também pode incluir raiva. Essa, às vezes, é direcionada ao fornecedor de segurança que forneceu as ferramentas de segurança que deveriam prevenir incidentes. No entanto, a raiva também pode ser direcionada ao agressor, principalmente se a vítima for um hospital, um município ou uma pequena loja como uma padaria ou uma floricultura.
Contudo, a culpa também pode aparecer, muitas vezes em relação à negligência. “Eles percebem que não estavam olhando para os sinais de alerta”, diz Mackenzie. Afinal, sempre há ferramentas que deveriam ter sido atualizadas ou gerenciadas melhor.
Alguns administradores e profissionais de segurança não conseguem lidar com o estresse. Um administrador de hospital que Mackenzie ajudou desapareceu por três dias após um incidente porque não estava preparado para esse tipo de desastre. Então, ele voltou e continuou
Portanto, os incidentes de segurança podem ter consequências de longo prazo no bem-estar mental dos funcionários se o estresse não for gerenciado corretamente. Felizmente, os psicólogos estudam há muito tempo maneiras de nos ajudar a lidar com situações intensas, e o Exército dos EUA também tem algumas técnicas que os profissionais de tecnologia podem usar.
Respiração tática e respiração lenta
Como especialista em gerenciamento de crises trabalhando, Sjøberg teve seu quinhão de situações tensas. Um exercício que o ajudou ao longo do caminho, chamado respiração tática ou respiração de combate, é usado por militares, bombeiros e policiais para reduzir o estresse em situações perigosas.
“Quando você emprega a respiração tática, você inspira enquanto conta até quatro, prende a respiração enquanto conta até quatro, expira enquanto conta até quatro e espera enquanto conta até quatro”, diz ele. No entanto, ao fazer este exercício, é essencial respirar fundo usando o diafragma, acrescenta Sjøberg.
Um estudo recente publicado por especialistas do Departamento de Pesquisa em Psicologia Militar das Forças Armadas Alemãs em Bonn mostrou que a respiração tática pode ser mais eficaz durante o enfrentamento passivo. Ou seja, quando esperamos uma situação difícil ou ameaçadora e não há outra opção senão enfrentar o estressor.
Enquanto isso, durante o enfrentamento ativo, técnicas mais simples podem funcionar melhor. Isso inclui expiração prolongada e respiração lenta. A expiração prolongada significa inspirar normalmente, mas expirar lentamente. Já a respiração lenta requer apenas cerca de seis ciclos de inspiração e expiração por minuto, em oposição aos 12 a 14 normais.
Por que fazer?
Quando respiramos mais devagar, dizemos ao nosso corpo que está tudo bem. Essas técnicas parecem ajustar o sistema nervoso parassimpático, que regula as ações inconscientes do corpo. Portanto, fazer esses exercícios pode diminuir a frequência cardíaca, relaxar os músculos e diminuir a pressão arterial.
O cérebro é o órgão mais complexo do corpo e ainda precisamos descobrir como ele realmente funciona. Ainda assim, um estudo publicado em 2017 por Kevin Yackle, então na Escola de Medicina da Universidade de Stanford e seus colegas, mostrou que os camundongos têm um pequeno aglomerado de neurônios com múltiplas funções: eles parecem regular os ritmos respiratórios e também interagir com uma região do tronco cerebral envolvida em estresse e pânico, o locus coeruleus.
Quando os pesquisadores removeram alguns desses neurônios, os camundongos experimentaram episódios de calma mais frequentes. No entanto, também ficaram menos interessados em explorar novos ambientes. Outros estudos mostraram que mudar a maneira como respiramos pode influenciar o córtex pré-frontal dorsomedial e a amígdala, que estão envolvidos no gerenciamento do estresse e das emoções negativas. Além disso, a respiração controlada pode levar a níveis mais baixos de cortisol.
Treinamento e planejamento de ataques cibernéticos
Se as técnicas de respiração não são sua praia, outra ideia para evitar emoções avassaladoras é se preparar para os ataques com antecedência. Contudo, esses exercícios devem ser conduzidos por alguém de fora da organização e devem incluir todos, não apenas especialistas em segurança.
“A gerência executiva precisa estar envolvida em pelo menos um workshop anual de gerenciamento de crises”, diz Sjøberg. “Já vi isso com tanta frequência que o CEO ou o CFO acabam não querendo participar do treinamento de gerenciamento de crises porque é muito difícil e tendem a perder durante as sessões de treinamento.”
Para evitar isso, o workshop deve ser sobre treinamento de pessoas sobre como usar ferramentas, não testar planos de gerenciamento de crises. “Você nunca deve treinar funcionários sem dar as respostas de antemão”, diz Sjøberg.
Esse treinamento também pode ajudar administradores, pesquisadores de segurança e partes interessadas a sentir que fizeram tudo o que podiam para evitar um incidente, o que pode aliviar sua culpa. Outras estratégias de treinamento para lidar com os estágios emocionais de uma violação são pedir desculpas e fazer as pazes, substituir a conversa interna negativa por competições e aprender com os erros do passado.
Afinal, exercícios como esses podem ajudar indivíduos e organizações a se tornarem mais maduros. Isso, por sua vez, os ajudará a reagir melhor durante os eventos e filtrar as emoções com mais eficiência. Planos para possíveis ataques cibernéticos também podem ser úteis.
Apoie-se nas regras definidas
“Quando você tem um processo maduro, uma maneira documentada de lidar com um incidente de segurança, você pode se dar ao luxo de tirar as emoções porque não precisa agir subjetivamente”, diz Almerindo Graziano, CEO da Cyber Rangers. “Estas são as regras, esta é a melhor prática, isso é o que você faz.”
Contudo, Graziano também sugere que os profissionais mais competitivos podem se beneficiar invertendo a situação. Ou seja, transformando o desastre em uma oportunidade: “Prove como você é bom em parar o ataque ou caçar a ameaça!”
Embora todas essas estratégias para filtrar emoções possam funcionar para administradores e especialistas em segurança, mais uma categoria precisa melhorar para lidar com o estresse: as partes interessadas.
As partes interessadas influenciam o desenrolar de um ataque cibernético
Executivos de nível C e membros do conselho estão sob pressão durante um incidente de segurança cibernética. Afinal, sua empresa pode perder bilhões de dólares. Ela também pode perder sua reputação também. Não obstante, durante um incidente, as partes interessadas precisam enfrentar clientes irritados cujos dados pessoais foram publicados online e parceiros de negócios afetados pelo ataque.
Geralmente, existem dois tipos de stakeholders:
- Aqueles que se irritam em momentos críticos e pressionam os especialistas em segurança para corrigir o problema;
- Os que demonstram empatia e compaixão, dando suporte àqueles que trabalham para colocar tudo de volta nos trilhos.
Escusado será dizer que as partes interessadas irritadas pioram as coisas. Portanto, eles precisam dar um passo para trás, entendendo que são “provavelmente as pessoas mais incompetentes da sala”, diz Sjøberg.
Mackenzie acrescenta que os especialistas em segurança podem perder coisas se tiverem que agir com pressa. “Quando esse tipo de pressão é colocado, erros são cometidos porque [especialistas em segurança] tendem a se concentrar mais na recuperação do que na perícia”, diz ele.
“Você precisa entender como o ataque aconteceu não apenas para melhorar sua segurança daqui para frente, mas também para garantir que os invasores ainda não estejam em sua rede.”
Por outro lado, a gestão de apoio pode ajudar a resolver a crise. A Dra. Stacey recomenda que os executivos de nível C perguntem à equipe o que podem fazer para apoiar seus esforços.
“É importante que a alta administração exerça esse tipo de empatia porque as emoções podem derrubar as pessoas; contudo, elas também podem elevá-las e motivá-las”, afirma. “Então, é uma questão de tentar gerenciar o sistema e gerenciar as pessoas de uma maneira que sempre possamos transformá-lo em uma direção positiva, em vez de uma marcha à ré.”
Esqueça a culpa
Seu Ph.D. O estudante Omotolani Olowosule acrescenta que a fase crítica de um incidente de segurança não é o momento para o “jogo da culpa”. Portanto, as organizações devem apoiar seus funcionários. Quando administradores e especialistas em segurança não sentem que precisam proteger suas reputações e têm a confiança de que, aconteça o que acontecer, eles não são deixados sozinhos para lidar com isso, eles conseguem encontrar maneiras inovadoras de resolver o problema. Esse é um importante dado a considerar durante os estágios emocionais de uma violação.
“A emoção não anda sozinha”, diz Olowosule. “Eu reagiria positivamente se estivesse em um ambiente muito confortável, onde minhas opiniões fossem valorizadas. Tudo bem, eu errei, provavelmente fiz algo muito ruim para a empresa, contudo, isso não significa que vou ter que assumir a culpa sozinho.”
No entanto, acalmar um executivo de nível C irritado é mais complicado do que ajudar um engenheiro de segurança a relaxar.
Consultores externos em evento de segurança cibernética
Durante os momentos intensos de uma violação de dados, consultores externos gastam muito tempo acalmando executivos nervosos. “Quase temos que assumir o papel de ser aquele ombro para chorar até certo ponto para ajudá-los a navegar por todos esses sentimentos”, diz John Prieto, consultor de resposta a incidentes da Mandiant e ex-operador de guerra cibernética da Força Aérea dos EUA.
Ele diz que a comunicação e a transparência são cruciais porque todos querem uma barra de progresso na investigação.
“Então, seja direto ao dizer: essas são as coisas das quais vimos evidências, essas são as coisas das quais não vimos evidências, e apenas deixe as evidências falarem”, diz ele.
Prieto acrescenta que cada pessoa ingere informações de maneiras diferentes. Algumas pessoas são muito práticas, enquanto outras gostam de receber relatórios escritos ou verbais. Portanto, ele tenta incorporar todas as formas de comunicação. No entanto, ele diz que passar muito tempo conversando significa trabalhar menos na correção do problema.
Portanto, para acalmar um gerente irritado pé mais eficiente usar um consultor externo. Ele muitas vezes leva o executivo para fora da sala de reuniões, fazendo um debriefing anti-stress e dizendo a eles como as coisas podem voltar aos trilhos.
Permitir que todos fiquem calmos é fundamental em situações perigosas. “Podemos colocar todas as ferramentas que queremos no mundo, mas a menos que a pessoa tenha resiliência para empregá-las, ainda será muito difícil obter os resultados”, diz Stacey.
