A estratégia de segurança de cutucada usa avisos ou lembretes gentis (chamados de "empurrões") para encorajar as pessoas a abordarem preocupações de segurança em seus sistemas.
A estratégia tem raízes na ciência comportamental. Ela utiliza técnicas psicológicas como perguntas abertas, comparações e arquitetura de escolha para fazer as pessoas pararem e refletirem sobre suas decisões de segurança, orientando-as em direção a melhores hábitos cibernéticos sem a necessidade de instruções ou comandos rígidos.
Os empurrões podem incluir:
- Notificações
- Mensagens
- Solicita
Para tarefas como:
| Mensagem | Exemplo de cutucada | Psicologia |
| Inscreva-se em um curso de segurança | “Este módulo de segurança pode ajudar você a proteger seus colegas e familiares.” | Emoção: Cutucadas podem despertar sentimentos como compaixão, preocupação ou entusiasmo para inspirar ações. |
| Instalar atualização de software | “Selecione um horário para instalar a nova atualização.” (Isso não permite que o usuário simplesmente adie a tarefa). | Arquitetura de escolha: Incentivar as pessoas a agir sem restringir sua liberdade de escolha. |
| Redefinir uma senha | 1. “Sua senha é mais fraca que 90% dos seus colegas.” 2. Um gráfico de semáforo que mostra a força da nova senha escolhida pelo usuário. | 1. Comparações: Comparações sociais podem trazer uma sensação de competição às tarefas e motivar as pessoas a agir. 2. Comentários: As pessoas são mais propensas a agir quando recebem feedback instantâneo sobre suas escolhas. |
| Aviso de link suspeito | “Você confia neste link ou anexo?” | risco: Incentiva as pessoas a pensar profundamente sobre riscos potenciais, ajudando-as a identificá-los melhor no futuro. |
Por que precisamos de empurrões?
As pessoas são o elo mais fraco quando se trata de segurança cibernética, e o erro humano é o culpado pela maioria das violações de dados. Seja intencional ou acidental, o comportamento inadequado em relação à segurança abre vulnerabilidades – independentemente da eficácia da equipe e das ferramentas de segurança de TI de uma organização.
Conscientização é mais importante do que ferramentas para aprimorar a postura de segurança de uma organização. Nudges (termo popularizado pelos cientistas comportamentais Cass Sunstein e Richard Thaler em 2008) não dizem às pessoas para fazerem nada; eles são projetados para orientá-las a fazer a coisa certa sem a pressão usual associada à gestão de riscos.
Uma estratégia de segurança "nudge" ajuda os funcionários a adotar uma mentalidade de segurança em primeiro lugar, afastando-os de maus hábitos como atrasar atualizações, usar senhas fracas e ignorar avisos de segurança, todos os quais podem aumentar as superfícies de ataque nas diversas tecnologias de nuvem e SaaS usadas pelas organizações hoje em dia.