CISOs Experientes: Cinco iniciativas de segurança que você pode implementar hoje

Os proprietários de empresas estão cada vez mais preocupados com a proliferação da tecnologia no ambiente de trabalho. Inovações como o BYOD, nuvem, acesso global e as redes sociais dificultam a vida dos CISOs (Chief Information Security Officers) na busca de uma abordagem eficaz para defender seus dados e proteger sua valiosa propriedade intelectual.

Nesse cenário de ameaças tão dinâmico (ou nem tanto), as empresas e os governos estão lutando constantemente contra o cibercrime organizado e o hacktivismo. Com malwares como o Flame, Stuxnet e Shamoon disponíveis para os cibercriminosos, os CISOs precisam estar um passo à frente e se preparar para ataques adequadamente.

Vejamos algumas medidas de segurança usadas hoje e quais iniciativas podem ser implementadas imediatamente que vão lhe valorizar dentro da empresa e proteger contra ciberataques avançados. Através das minhas experiências e discussões com pessoas do ramo, percebi que as cinco iniciativas principais para estabelecer um programa de segurança bem sucedido e manter sua empresa segura são: 

1. Entender sua empresa. Isso pode parecer infantil, mas não estamos tentando ser paternalistas. A segurança não administra uma empresa, mesmo na indústria de segurança. Muitas vezes, iniciativas para gerar lucros, como vendas e marketing, tendem a ser mais importantes que a segurança, ou deixar a segurança de lado. Em uma tentativa de mudar isso, os CISOs devem se envolver ativamente com o ciclo de vida de desenvolvimento do produto/serviço da empresa e integrar a segurança de maneira estratégica para ampliar seu valor financeiro.
   

Os riscos e ameaças que sua empresa enfrenta são extremamente reais e podem ter repercussões se você optar por uma abordagem mais reativa para a segurança. Seja pró-ativo, informe a diretoria (BODs) que a segurança pode ser um grande diferencial financeiro. Um exemplo pode ser seu envolvimento com os produtos que sua empresa produz. Diferente de outros grupos da área de TI, a segurança precisa pensar nas ameaças.  Você deve incorporar esse pensamento em cada processo, estratégia e comunicação. Mais segurança pode aumentar a rentabilidade e preservar os dados da empresa. Mesmo assim, as fases de planejamento da sua estratégia de segurança TI não devem ser apressadas. Ir devagar é a maneira mais rápida de criar uma arquitetura de segurança de TI eficaz e metódica.

1. Compreenda o papel da segurança. No ambiente atual, a tecnologia nos consome.  Geralmente nos esquecemos das pessoas e dos processos, os fatores essenciais para o sucesso das nossas empresas. Como líderes, precisamos vender ideias. A tecnologia sozinha é um curativo e precisa andar de mãos dadas com outros elementos. Se você quer um sistema de segurança de TI abrangente, você deve integrar governança e processos para garantir o sucesso. Além disso, a educação é essencial. Eduque por todos os lados. Todos os seus funcionários, desde os diretores até o pessoal de atendimento ao cliente e seu departamento de instalações, devem ter uma compreensão mútua da missão e estratégias do seu departamento.   Uma maneira de cultivar essa compreensão é atacar a sua própria empresa. Isso deve testar o conhecimento de seus funcionários quanto às ameaças atuais, como reconhecer essas ameaças , o que dará a você uma boa ideia de como reagir. Esse também é um item importante a ser compartilhado com sua empresa. Outra maneira poderia ser desafiar seu help desk a identificar como eles roubariam uma senha durante o processo de redefinição da senha. Isso deve identificar possíveis casos de abuso. E também é uma forma de educar o grupo em relação a ameaças externas. A maioria dos funcionários está interessada nisso e pode até considerar divertido "bancar o vilão" de vez em quando.
2. Compreenda a "informação". A compreensão do valor relativo da informação é uma ferramenta poderosa. Seu objetivo final deve ser obter sabedoria e conhecimento sobre a função da segurança de TI e como isso afeta a sua empresa.  Outro objetivo deve ser de transformar um grupo de segurança em uma equipe de inteligência de segurança.  Você precisa de mais que apenas dados e informações, você precisa da capacidade de analisar essas informações e aproveitar as suas descobertas para contar uma história convincente. Ao fazer isso, você viabiliza o desenvolvimento de um programa de segurança que proteja sua empresa contra a perda e o roubo de dados de maneira adequada.

Outro aspecto da compreensão de informação é a liderança. Sua equipe de liderança não deve apenas buscar liderar seu deparamento. Precisamos agir como líderes da empresa para oferecer mensagens claras, relevância, contexto e oportunidades de relatar informações importantes à administração da empresa. Somente assim é possível tomar decisões com eficácia. Isso também ajuda a obter aceitação daqueles caras que só veem as margens de lucro e seu programa como um item de linha no orçamento deles.

1. Crie governança. Por definição, a governança é a capacidade de descrever expectativas, conferir, e poder e validar desempenho. Isso pode ser conseguido criando uma declaração de missão poderosa para suas iniciativas de segurança da informação dentro da empresa. Ao fazer isso, você está claramente definindo a quem a segurança de TI se reporta, além dos seus papeis e responsabilidade. Garantir o alinhamento operacional entre todos os departamentos ajudará a envolver sua empresa inteira, aumentando a consciência de sua arquitetura de segurança.
2. Converta risco em iniciativas financiadas. Por último, mas certamente não menos importante, você deve aproveitar o seu modelo de governança para transformar iniciativas de segurança da informação em esforços financiados. Ao colaborar com a administração para determinar sua missão, prioridades e iniciativas, seus projetos serão transformados de maneira inerente em metas com o apoio de todos. Também é muito importante manter a administração informada quanto a riscos, novidades e informações. Os diretores querem ver suas iniciativas e o que você tem a oferecer.

Essas iniciativas podem ajudar a construir uma base forte para a estratégia de segurança de sua empresa. É um trabalho para definir riscos, estabelecer segurança e então encontrar o equilíbrio entre esses dois fatores . Não desperdice oportunidades de educar as pessoas.   Cada ataque e violação divulgado é uma oportunidade para você aproveitar aquela ameaça, comunicar o risco e construir uma estratégia. Ao mesmo tempo, você planta uma semente para esforços futuros, comunicando seu plano de ataque e vendendo suas ideias.  Com uma mentalidade pró-ativa, você estará em uma posição melhor para frustrar ataques avançados e proteger os dados de sua empresa.

Max Grossling, gerente sênior de Programas Técnicos da Websense.