Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.
A verdade é uma só:
Os usuários não se preocupam com segurança - e nem deveriam.
Os usuários querem apenas uma coisa, bem simples: que os serviços que eles utilizam funcionem e que, em caso de eventuais problemas, haverá uma central de atendimento a disposição para irá resolver tudo, com pouca dor de cabeça.
Eu até pensei em me arriscar a dizer que isto não seria válido em alguns casos especiais, como serviços de Internet Banking (afinal, afetam diretamente o nosso bolso), mas mesmo nestes casos, o cliente final busca simplesmente a comodidade em troca da certeza de que, em caso de fraude, o banco irá reconhecer o problema e arcar com o prejuízo.
Ou seja, sob o ponto de vista do usuário final de um servico online, a confiança não está atrelada, necessariamente, ao uso claro e evidente de tecnologias complexas de segurança. A confiança depende da qualidade do serviço prestado.
Fazendo um paralelo com o mundo real...
- Quando você compra um carro novo, com air-bag, você pede para o vendedor testar o air-bag do seu carro na sua frente, para ter certeza que ele funciona? Afinal, air-bag é um item que encarece o custo do carro, com a promessa de que você estaria a salvo em caso de acidentes. Você paga a mais por isso, mas nem sabe se ele funciona? Ou será que acreditamos no princípio de que a empresa e seus engenheiros sabem como fazer um air-bag? No fundo, queremos apenas o conforto de saber que, se eventualmente precisarmos, haverá um air-bag para nos proteger. E, mesmo assim, você ao menos pede para o vendedor desmontar o painel do carro e mostrar que o air-bag esta lá? Ou será que, novamente, confiamos cegamente na reputação da empresa?
- Quando você compra um apartamento, ou se muda para um apartamento novo, você testa a rigidez das paredes e das vigas de sustentação? Você se preocupa com que tipo de material o prédio foi construído, ou seja, com a qualidade do concreto? E você verifica antes o projeto arquitetônico? Ou será que confiamos cegamente que, após uns 5 mil anos construindo casas, prédios e pirâmides, os arquitetos e engenheiros já apreenderam a conxtruir um prédio de forma segura?
O usuário final não tem que se preocupar com a segurança do site ou do serviço que ele utiliza. Ele tem que ter a paz e o sossego de acreditar que, se o serviço está disponível online, então ele é, de alguma forma, seguro. Mesmo porque o usuário final não sabe como avaliar a segurança de um serviço, assim como eu não entendo nada de mecânica de automóveis nem mesmo sei como empilhar dois tijolos, um em cima do outro.
Na lingua inglesa, as palavras "security" e "safety" tem significados ligeiramente diferentes, mas em português as traduzimos para a mesma palavra, "segurança". "Safety" remete à condição de estar seguro. O usuário final quer "safety", enquanto a indústria entope ele com soluções de "security".
A solução?
- Educação e conscientização - sim, a educação do usuário final sempre será a melhor forma de minimizarmos os problemas de segurança, mas isto não acontece do dia para a noite. Não vai ser uma simples cartilha ou uma palestra que vai tornar um usuário leigo em um expert em identificar e evitar golpes online. A educação é um esforço contínuo, que demora, consome tempo, exige várias atividades para apresentar e reforcar os conceitos principais. Envolve treinamento, e também envolve prática - para não falar tentativa e erro também! Além do mais, milhares de novos usuários surgem todo o dia, seja porque eles simplesmente nascem (a propósito, um grande amigo meu criou um perfil no facebook para seu filho recém-nascido!), ou por causa da inclusão digital. E novos usuários são extremamente propensos a cometer os mesmos erros que a maioria de nós cometemos quando começamos a usar a internet, inclusive clicar em tudo o que vê, instalar qualquer software que vê pela frente, e repassar mensagens de motivação com power points cheios de coraçõezinhos, paisagens, anjos e pôneis. Pôneis malditos...
- Tecnologias de fácil uso, com interface amigável - a indústria tem que fornecer soluções fáceis de usar, em vez de esperar que o cliente seja um expert ou leia o manual do software antes de sair usando. Ninguém lê manual. Você leu o manual do seu liquidificador antes de ligar ele na tomada? E do carro novo? Programas fáceis de usar minimizam a chance de mal uso. Isso também tem a ver com o próximo item da lista...
- Segurança embutida na tecnologia, no serviço e no processo - a segurança não deve algo que deva ser adicionada a parte, muito menos pode depender de configuração e interação com os usuários. O usuário não tem conhecimento de segurança, e portanto, não tem condições de escolher a alternativa mais segura. Pelo menos a indústria já está começando a perceber que o usuário comum não sabe configurar um personal firewall e muito menos decidir se deve clicar no botão de aceitar ou recusar daquelas centenas de pop-ups chatos e que não dizem nada compreensível.
- Empresas adotando uma postura que não exponha os usuários ao risco. Um exemplo é pensarmos nos emails de phishing para roubar dados de cartão de crédito que são enviados aos milhares, imitando promoções. Pois bem, quem começou com esta história de promoção premiada de cartão de crédito aonde o cliente tem que acessar um site e fornecer os números do cartão foram... as próprias empresas de cartão. Eu lembro que, há pouco tempo atrás, elas enviavam folhetos de promoções junto com a fatura e pediam aos clientes acessarem um site e dar o número do cartão para concorrer a premios. Com isso, os cyber criminosos simplesmente precisaram imitar as promoções que já existiam, e hoje este tipo de fraude é extremamente comum, entupindo nossas caixas de e-mail.
Nenhum comentário:
Postar um comentário