Se você quer mudar os hábitos de segurança dos seus colaboradores, não conte com vontade própria, mude o ambiente

Imagine que você está em uma cafeteria e precisa conectar seu smartphone a uma rede Wi-Fi, ao abrir a tela de conexões disponíveis você vê as opções abaixo e supõem que pode pedir a senha da rede a um funcionário da loja, caso necessite. Qual rede Wi-Fi você escolheria?

Dependendo do seu nível de conscientização em segurança da informação, você escolheria a primeira “mi38”, que parece ter sinal melhor, ou a “v29o” que não está mal de sinal, mas é segura e solicitará uma senha.

Agora, imagine que você está na mesma cafeteria, mas na tela do seu smartphone mostra a lista de redes de uma maneira diferente. Qual rede você escolheria?

Você pode ou não ter consciência elevada em segurança da informação, mas minha aposta é que você escolheria a rede “3gk6”. Mas o que mudou? São as mesmas redes, mas apresentadas de maneira diferente, o que levou você a inconscientemente mudar de decisão. Bem-vindo ao poder dos “empurrõezinhos”!

Esses pequenos “empurrõezinhos” influenciam suas decisões, sem que você saiba
Em 2008, Richard Thaler e Cass Sunstein publicaram o livro “Um pequeno empurrão: o impulso que você precisa para tomar melhores decisões sobre saúde, dinheiro e felicidade”, que ajudou a populariza a “teoria do empurrão” (nudge) e o conceito de “arquitetura da escolha”. Nesse livro os autores propõem que desenhando cuidadosamente as opções apresentadas ao público, incluindo a maneira como as ordenamos ou marcamos, podemos influenciar sutilmente a tomada de decisão, sem restringir a liberdade de escolha.

Segundo os autores, o empurrãozinho é “qualquer aspecto da arquitetura de escolha que altera o comportamento das pessoas de uma maneira previsível sem proibir nenhum opção ou mudar significativamente seus incentivos econômicos”. 

Nesse libro são mencionadas dezenas de casos de sucesso de “empurrõezinhos” e de arquitetura de escolha: como pegadas em forma de mosca em vasos sanitários que façam com que homens mirem melhor e sujem menos, frutas e verduras colocadas no início de um self-service que fazem com que os clientes consumam mais esse tipo de alimento, painel em estradas que simplesmente por demonstrar a velocidade atual dos motoristas, fazem com que estes reduzam a velocidade e formulários que já trazem a opção por doar órgãos preenchida e que geram diferenças abismais entre o volume de doações em diferentes países. A leitura do livro é muito ilustrativa e vale a pena.

Como já vimos em artigos passados, nossa racionalidade é limitada e nossas decisões estão sistematicamente ligadas a vieses e heurísticas que produzem resultados indesejados em certas situações complexas. Os “empurrõezinhos” se apoiam na lógica binária dos sistemas cognitivos: sistema I e sistema II e são caracterizados por explorar nossa irracionalidade.

Como o passar dos anos, o conceito dos empurrões foi se refinando e apareceram novas definições, uma particularmente útil é a do especialista em ciência de comportamento P. G. Hansen que diz que “um empurrão é a qualquer tentativa (1) de influir no juízo, na eleição ou no comportamento das pessoas de uma maneira previsível, num processo que só é possível (2) devido aos limites cognitivos, vieses, rotinas e hábitos de tomada de decisão individuais ou sociais que representem barreira para que as pessoas desempenhem racionalmente seus interesses próprios autodeclarados e que (3) utilize os mesmos limites, vieses, rotinas e hábitos como parte integral dessa tentativa”.

Essa definição sugere as seguintes características dos “empurrõezinhos”:

• Produzem resultados previsíveis: influenciam em uma direção que se pode saber.
• Combatem a irracionalidade: intervém quando as pessoas não agem racionalmente em seu próprio interesse devido a limites cognitivo, vieses, rotinas e hábitos.
• Exploram a irracionalidade: chegam ao limite cognitivo, de heurística, rotinas e hábitos para influenciar em um comportamento melhor.

Voltemos ao exemplo inicial desse artigo sobre as redes Wi-Fi, se seguirmos a definição de Hansen, observamos que a segunda forma de apresentar a lista de redes afeta a decisão da seguinte maneira:

• Produz resultados previsíveis: mais usuários escolherão as opções mais seguras.
• Combatem a irracionalidade: vão afastar o impulso irracional de conexão, que será satisfeito pela primeira rede com boa potência que aparece na lista, sem importar se ela está aberta ou fechada.
• Exploram essa mesma irracionalidade: julgamos como mais seguro o que está na cor verde em comparação ao vermelho, favorecemos as duas primeiras opções da lista em relação as últimas, damos mais atenção a pistas visuais do que textuais, damos mais valor a (suposta) maior velocidade do que a segurança etc.

Tudo isso mostrando as mesmas redes ao usuário, sem proibir nenhuma opção nem mudar qualquer dos incentivos econômicos ao usuário, ou seja, estamos aproveitando todos os vieses para mostrar a opção preferível como primeiro lugar na lista, na cor verde, com um cadeado além de texto e com uma hierarquia definida, além de apresentar o critério segurança em primeiro lugar e velocidade de conexão em segundo. Seguramente, estamos analisando os vieses e desenhando um pequeno empurrão, mas respeitando a liberdade de escolha.

Vários trabalhos de pesquisa realizaram o mesmo experimento com redes Wi-Fi, conseguindo mudar a conduta dos usuários ao influenciar em escolhas mais seguras. Em todos os casos, os estudos chegaram a conclusões semelhantes:

• Os “empurrõezinhos” bem desenhados tem o poder de influir na decisão.
• Essa capacidade para modificar o comportamento é maior quanto mais inseguro for o usuário.
• O poder de alterar o comportamento aumenta se combinamos vários tipos de empurrões apelando para os sistemas I e II.

Como influenciar no comportamento de segurança dos seus colaboradores
A cada dia as pessoas na sua empresa enfrentam decisões de segurança as mais variadas, muito mais do que escolher uma rede sem fio seguro:

• Se faço o download e instalo essa aplicação. Será um risco para a segurança?
• Se conecto esse USB no meu laptop, será ele um vetor para um ataque de vírus?
• Se utilizo uma senha curta, fácil de relembrar, estou abrindo as portas para um invasor?

É para responder a essas perguntas que existem as políticas de segurança. Para guiar o comportamento dos usuários, forçando-os a adotar uma conduta cada vez mais segura em alinhamento com os objetivos da organização. Mas existem alternativas? É possível guiar as decisões de um grupo de pessoas respeitando sua autonomia, sem restringir as opções? Em outras palavras, é possível fazer com que atuem de maneira segura, sem que estejam conscientes de que se está influenciando suas decisões?

Segundo o professor especialista em cibersegurança R. Calo, existem três tipos de intervenção comportamental:

1. Códigos: implicam na manipulação do ambiente para que o comportamento inseguro seja quase impossível. Por exemplo, se você quer que os usuários dos seus sistemas criem senhas seguras, pode impedir qualquer alternativa de que não cumpra a política de segurança: 12 ou mais caracteres, alfanuméricos e especiais, distinguindo maiúsculas e minúsculas, que não repitam. O usuário não tem escolha. No geral, todas as regras de segurança que não permitem ao usuário escolher, entram nessa categoria: bloquear portas USB, instalação de software, navegação na web, limitar o tamanho de anexos de e-mail etc. Os códigos são muito eficazes na hora de direcionar o comportamento, mas não permitem qualquer escolhe e nem exploram a racionalidade limitada, assim não podem ser chamados de “empurrõezinhos”. Na verdade, muitas dessas medidas são impopulares entre os usuários e podem levar a busca de maneiras de burlar seu propósito, como escrever uma senha complexa em um post-it e deixa-lo no monitor.
2. “Empurrõezinhos”: esses sim, explorar os vieses cognitivos e as heurísticas para influenciar os usuários a adotar condutas sábias (ou seguras). Por exemplo, voltando para o tema de senhas, se você quer que os usuários do seu sistema criem senhas mais seguras seguindo suas políticas de segurança, você pode utilizar um medidor de força de senha. Os usuários sentem a necessidade de conseguir uma senha mais forte e é mais provável que sigam adicionando caracteres e complicando cada vez mais o resultado final até chegar ao “verde de senha forte”. Apesar da proibição sistêmica de senha fracas, ao respeitar o poder de escolha dos usuários, um empurrãozinho simples eleva drasticamente a complexidade das senhas criadas.
3. Notificações: são intervenções puramente informativas dirigidas a provocar uma reflexão. Por exemplo, um formulário para inserção de senhas incluir a mensagem informando as características necessárias para a criação do valor e a importância de usar senhas robustas para prevenir ataques. Essas mensagens, no entanto, não muito ineficientes já que os usuários tendem a ignora-las. Você também não pode considerar tais mensagens empurrõezinhos, mas se pode incrementar drasticamente sua efetividade ao se combinar com um pequeno empurrão. Por exemplo, ao incluir um medido de força de senha e uma mensagem informativa.

Quais são os empurrões mais efetivos em segurança?
São os “empurrõezinhos” híbridos aqueles que resultam em maior eficiência, ao convidar o usuário a refletir, além de explorar algum viés ou heurística.

• Opções predeterminadas: oferecem mais de uma opinião, mas assegurando que a opção predeterminada seja a mais segura, ainda que permita que o usuário selecione outra opção se assim o desejar.
• Informação subliminar: uma página de criação de senhas influencia a criação de senhas mais seguras se, nela, aparecem imagens de hackers ou simplesmente olhos. Outro recurso é mudar a frase de “introduza sua senha” para “crie seu segredo”.
• Objetivos: apresentam um desafio ao usuário, por exemplo o medidor de força da senha, percentual de conclusão, barra de progresso etc., e ele se esforçará para completar essa tarefa.
• Feedback: proporciona informação ao usuário para que ele perceba que cada açõa está tendo o resultado esperado, enquanto se executa uma tarefa. Por exemplo, informar o grau de segurança alcançado na configuração de uma aplicação ou serviço ou mesmo os riscos envolvidos em uma ação como o apertar de um botão “Enviar”. A linguagem deve adaptar-se cuidadosamente ao nível de conhecimento do destinatário. Por exemplo, nesse estudo o uso de metáforas conhecidas fez com que os usuários entendessem melhor a informação, tomando melhores decisões. Neste outro, os pesquisadores comprovaram como a comunicação periódica a usuários Android sobre o uso de permissões de app faz com que eles as revisem periodicamente. Nessa outra pesquisa, os mesmos investigadores informavam o usuário do uso de sua localização, o que fez com que o usuário desligasse a opção no aparelho. Por fim, nesse outro estudo, a informação de quantas pessoas são capazes de ver um post na internet fez com que usuário desistissem de compartilhar suas vidas na web.
• Comportamento normativo: mostra o lugar que cada usuário ocupa em relação à média de usuários. Ninguém gosta de ficar para trás, todo mundo quer estar na liderança, para exemplificar, se ao escolher sua senha, o usuário enxergar a mensagem “87% dos colaboradores criaram uma senha mais forte” vai seguramente tentar reforçar a sua.
• Ordem: apresenta a opção mais seguro no início de uma lista, tendemos a selecionar o primeiro valor que nos oferecem.
• Convenções: usa convenções pictográficas, como a cor verde que significa “seguro” ou a cor vermelha que significa “perigo”, um cadeado representando a segurança, e assim por diante.
• Proeminência: destacar as opções seguras atrai a atenção sobre elas e facilita sua seleção. Quanto mais visível seja a opção mais segura, maior será a probabilidade de que ela seja selecionada.
• Resultados: pode-se apresentar o resultado de uma ação como obter uma vantagem ou evitar uma perda. A aversão a perda, normalmente, resulta em um impulso mais poderoso.

Implicações éticas dos “empurrõezinhos”
Como você pode imaginar, o assunto dos “empurrõezinhos” não está a salvo de implicações éticas, já que induz a tomada de decisões, explorando falhas nos processos cognitivos dos usuários. Em resumo, se pode dizer que estamos hackeando cérebros.

As pesquisadoras K. Renaud e V. Zimmermann publicaram um trabalho completo em que exploram as ramificações sobre essa estratégia e propõem uma série de princípios para adicionar ética ao processo. Assim, antes de desenhar seus próprios “empurrõezinhos”, reflita cuidadosamente sobre esses cinco princípios éticos:

1. Autonomia: o usuário final deveria ser livre para escolher qualquer uma das opções oferecidas, com independência de direcionamento. Nenhuma opção deveria ser proibida ou eliminada do conjunto, se o objetivo é restringir as opções por motivos de segurança, é necessário explicar o porquê.
2. Benefício: só deveríamos utilizar a estratégia para entregar um benefício claro ao usuário, justificando totalmente a intervenção no processo de escolha.
3. Justiça: deve-se beneficiar o máximo possível de indivíduos, não só o criador do empurrão.
4. Responsabilidade social: deve-se considerar os resultados esperados e não esperados, escolher “empurrõezinhos” que sejam sociais, avancem em direção a um bem comum.
5. Integridade: os empurrões devem ser desenhados com respaldo científico, na medida do possível.

Use os “empurrõezinhos” para o bem
Este recurso está sendo cada vez mais utilizado em cibersegurança como objetivo de influenciar as pessoas para que escolham opções consideradas mais seguras. No entanto, novas arquiteturas estão sendo estudadas para que se possa desenhar ambientes melhores de tomada de decisão em segurança, sem a necessidade de se recorrer aos “empurrõezinhos”. Seja ético ao desenhar os seus, eles devem ajudar os usuários a vencer seus vieses e heurísticas que ponham em perigo suas decisões sobre privacidade e segurança.

Empurre sua empresa em direção da maior segurança da informação, respeitando a liberdade das pessoas.

Gonzalo Álvarez de Marañón
Inovação e laboratório na ElevenPaths
gonzalo.alvarez@global.11paths.com