CISOs Experientes: Cinco iniciativas de segurança que você pode implementar hoje

0

Os proprietários de empresas estão cada vez mais preocupados com a proliferação da tecnologia no ambiente de trabalho. Inovações como o BYOD, nuvem, acesso global e as redes sociais dificultam a vida dos CISOs (Chief Information Security Officers) na busca de uma abordagem eficaz para defender seus dados e proteger sua valiosa propriedade intelectual.

Nesse cenário de ameaças tão dinâmico (ou nem tanto), as empresas e os governos estão lutando constantemente contra o cibercrime organizado e o hacktivismo. Com malwares como o Flame, Stuxnet e Shamoon disponíveis para os cibercriminosos, os CISOs precisam estar um passo à frente e se preparar para ataques adequadamente.

Vejamos algumas medidas de segurança usadas hoje e quais iniciativas podem ser implementadas imediatamente que vão lhe valorizar dentro da empresa e proteger contra ciberataques avançados. Através das minhas experiências e discussões com pessoas do ramo, percebi que as cinco iniciativas principais para estabelecer um programa de segurança bem sucedido e manter sua empresa segura são: 

  1. Entender sua empresa. Isso pode parecer infantil, mas não estamos tentando ser paternalistas. A segurança não administra uma empresa, mesmo na indústria de segurança. Muitas vezes, iniciativas para gerar lucros, como vendas e marketing, tendem a ser mais importantes que a segurança, ou deixar a segurança de lado. Em uma tentativa de mudar isso, os CISOs devem se envolver ativamente com o ciclo de vida de desenvolvimento do produto/serviço da empresa e integrar a segurança de maneira estratégica para ampliar seu valor financeiro.

Os riscos e ameaças que sua empresa enfrenta são extremamente reais e podem ter repercussões se você optar por uma abordagem mais reativa para a segurança. Seja pró-ativo, informe a diretoria (BODs) que a segurança pode ser um grande diferencial financeiro. Um exemplo pode ser seu envolvimento com os produtos que sua empresa produz. Diferente de outros grupos da área de TI, a segurança precisa pensar nas ameaças.  Você deve incorporar esse pensamento em cada processo, estratégia e comunicação. Mais segurança pode aumentar a rentabilidade e preservar os dados da empresa. Mesmo assim, as fases de planejamento da sua estratégia de segurança TI não devem ser apressadas. Ir devagar é a maneira mais rápida de criar uma arquitetura de segurança de TI eficaz e metódica.

  1. Compreenda o papel da segurança. No ambiente atual, a tecnologia nos consome.  Geralmente nos esquecemos das pessoas e dos processos, os fatores essenciais para o sucesso das nossas empresas. Como líderes, precisamos vender ideias. A tecnologia sozinha é um curativo e precisa andar de mãos dadas com outros elementos. Se você quer um sistema de segurança de TI abrangente, você deve integrar governança e processos para garantir o sucesso. Além disso, a educação é essencial. Eduque por todos os lados. Todos os seus funcionários, desde os diretores até o pessoal de atendimento ao cliente e seu departamento de instalações, devem ter uma compreensão mútua da missão e estratégias do seu departamento.   Uma maneira de cultivar essa compreensão é atacar a sua própria empresa. Isso deve testar o conhecimento de seus funcionários quanto às ameaças atuais, como reconhecer essas ameaças , o que dará a você uma boa ideia de como reagir. Esse também é um item importante a ser compartilhado com sua empresa. Outra maneira poderia ser desafiar seu help desk a identificar como eles roubariam uma senha durante o processo de redefinição da senha. Isso deve identificar possíveis casos de abuso. E também é uma forma de educar o grupo em relação a ameaças externas. A maioria dos funcionários está interessada nisso e pode até considerar divertido "bancar o vilão" de vez em quando.
  2. Compreenda a "informação". A compreensão do valor relativo da informação é uma ferramenta poderosa. Seu objetivo final deve ser obter sabedoria e conhecimento sobre a função da segurança de TI e como isso afeta a sua empresa.  Outro objetivo deve ser de transformar um grupo de segurança em uma equipe de inteligência de segurança.  Você precisa de mais que apenas dados e informações, você precisa da capacidade de analisar essas informações e aproveitar as suas descobertas para contar uma história convincente. Ao fazer isso, você viabiliza o desenvolvimento de um programa de segurança que proteja sua empresa contra a perda e o roubo de dados de maneira adequada.

Outro aspecto da compreensão de informação é a liderança. Sua equipe de liderança não deve apenas buscar liderar seu deparamento. Precisamos agir como líderes da empresa para oferecer mensagens claras, relevância, contexto e oportunidades de relatar informações importantes à administração da empresa. Somente assim é possível tomar decisões com eficácia. Isso também ajuda a obter aceitação daqueles caras que só veem as margens de lucro e seu programa como um item de linha no orçamento deles.

  1. Crie governança. Por definição, a governança é a capacidade de descrever expectativas, conferir, e poder e validar desempenho. Isso pode ser conseguido criando uma declaração de missão poderosa para suas iniciativas de segurança da informação dentro da empresa. Ao fazer isso, você está claramente definindo a quem a segurança de TI se reporta, além dos seus papeis e responsabilidade. Garantir o alinhamento operacional entre todos os departamentos ajudará a envolver sua empresa inteira, aumentando a consciência de sua arquitetura de segurança.
  2. Converta risco em iniciativas financiadas. Por último, mas certamente não menos importante, você deve aproveitar o seu modelo de governança para transformar iniciativas de segurança da informação em esforços financiados. Ao colaborar com a administração para determinar sua missão, prioridades e iniciativas, seus projetos serão transformados de maneira inerente em metas com o apoio de todos. Também é muito importante manter a administração informada quanto a riscos, novidades e informações. Os diretores querem ver suas iniciativas e o que você tem a oferecer.

Essas iniciativas podem ajudar a construir uma base forte para a estratégia de segurança de sua empresa. É um trabalho para definir riscos, estabelecer segurança e então encontrar o equilíbrio entre esses dois fatores . Não desperdice oportunidades de educar as pessoas.   Cada ataque e violação divulgado é uma oportunidade para você aproveitar aquela ameaça, comunicar o risco e construir uma estratégia. Ao mesmo tempo, você planta uma semente para esforços futuros, comunicando seu plano de ataque e vendendo suas ideias.  Com uma mentalidade pró-ativa, você estará em uma posição melhor para frustrar ataques avançados e proteger os dados de sua empresa.

Max Grossling, gerente sênior de Programas Técnicos da Websense.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.