Criando uma cultura de cibersegurança descentralizada, robusta e escalável
A importância de criar uma cultura de segurança descentralizada e enraizada aos valores corporativos, protegendo empresas, negócios e clientes
Líder de segurança LatAm na Amazon Web Services
Publicado em 21 de outubro de 2023 às 10h00.
Outubro é o mês da Conscientização em Cibersegurança. E com ele temos a oportunidade de refletir sobre a importância de adotarmos uma cultura de segurança cibernética moderna, decentralizada e enraizada em valores organizacionais.
Quando criança me lembro que na casa de minha avó materna havia um único meio de comunicação, um telefone analógico. Provavelmente, alguns dos leitores nem imaginam do que estou falando, mas trata-se daquele aparelho com um disco, que precisava ser rotacionado para realizar ligações. Nessa época, a segurança do uso do telefone era centralizada e gerenciada exclusivamente pela minha avó, por meio de um cadeado controlado diretamente por ela.
- Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás:abra sua conta na Mynte invista com o apoio de especialistas e com curadoria dos melhores criptoativos para você investir.
Muita coisa mudou desde então, observamos o surgimento de novas tecnologias disruptivas e uma democratização tecnológica sem precedentes. Hoje é comum termos em uma casa mais dispositivos conectados com a internet do que moradores. Isso traz desafios para a cibersegurança e a necessidade latente pela criação de uma cultura de segurança moderna, decentralizada e forte dentro das empresas.
Nesse cenário, da mesma forma que todos os colaboradores têm a responsabilidade de atender bem e dar uma boa experiência aos clientes, não deveriam também se preocupar e assumir o papel e sua responsabilidade de cibersegurança?
Imagino que nesse momento alguns leitores podem estar pensando: “Mas, já fazemos treinamentos e semanas de conscientização em segurança”. “Investimos continuamente em soluções de segurança”. “Possuímos uma área de segurança cibernética”. “Fazemos simulações de ataques cibernéticos de forma recorrente”.
Se essas já foram algumas de suas reflexões, alguns passos foram dados. Mas a lista abaixo pode ajudar a identificar o quanto a cibersegurança está realmente enraizado na cultura organizacional da sua empresa:
1. Quantas vezes o tema cibersegurança foi discutido pela alta gestão como um assunto estratégico de negócio e não apenas mais um assunto técnico e em que medida os indicadores se segurança cibernética são compartilhados para toda a organização e com apoio da alta liderança (CEO)?
2. No caso de times de serviços e produtos digitais, os squads, qual o nível de autonomia e conhecimento de segurança das equipes para que possam endereçar proativamente requisitos de segurança no momento de concepção dos novos produtos e serviços?
3. Para empresas de capital aberto, como o tema cibersegurança é tratado em seus relatórios de resultados? Como o tema é tratado em operações de fusões e aquisições?
Me lembro de duas situações que traduzem bem a importância de tratar o tema cibersegurança com a devida prioridade.
Vida real, caso 1: a liderança de cibersegurança pelo exemplo
Durante o processo de aquisição de outra empresa, o então CEO da AWS pediu mais detalhes sobre aspectos de segurança da empresa a ser adquirida. No início da reunião agendada, o CISO (Chief Information Security Officer, o executivo responsável pelo tema segurança da informação) da referida empresa começou a trazer os devidos esclarecimentos, quando foi interrompido pelo executivo da AWS que perguntou: “Onde está o seu CEO”. A resposta do CISO: “Ele me delegou a responsabilidade para discutir esse tema”. Resposta do CEO da AWS: “Muito bem, diga a ele que esse é um tema estratégico que não pode ser delegado e tratado sem a presença dele nesse processo”.
Bom, vocês conseguem imaginar quem estava presente na reunião seguinte? Esse é só um exemplo de cibersegurança sendo tratada como uma prioridade estratégica, com o exemplo vindo da liderança. Isso sem dúvida reverbera de forma superpositiva na cultura organizacional, dando o respectivo peso e valor ao tema.
Vida real, caso 2: a descentralização da cibersegurança em escala
Outro caso interessante que também presenciei na AWS, foi a criação de um programa de embaixadores de segurança. Os Guardiões, como são chamados, não reportam para a estrutura de segurança centralizada do CISO, mas eles têm a responsabilidade de implementar boas práticas de segurança nos produtos e serviços desenvolvidos pelos seus respectivos times.
Os Guardiões também são avaliados com base em indicadores de segurança estabelecidos corporativamente, a fim de identificar se os seus produtos e serviços estão adotando as melhores práticas de segurança e são reconhecidos quando seus produtos e serviços mitigam riscos de forma preventiva.
Nesse modelo de Guardiões, as equipes de serviço passam a ser donas da segurança de seu produto e serviço, enquanto o time de segurança fica responsável pela segurança corporativa, com a missão de treinar e capacitar os guardiões. Isso cria uma comunidade estendida de cibersegurança, fortalecendo uma cultura de segurança organizacional, que fica distribuída e descentralizada, gerando um impacto positivo em toda a corporação.
Nesse modelo de guardiões observamos benefícios diretos, como:
1. Acriaçãode produtos e serviços mais seguros.
2.Otimizaçãono tempo de entrega de novos produtos e serviços digitais, evitando retrabalho de correções de vulnerabilidades ao final do processo de desenvolvimento.
3. Criação eacompanhamentode indicadores de segurança corporativos, como parte dos indicadores estratégicos de negócio.
4.Adoçãode um modelo colaborativo exponencial, criando uma comunidade de segurança estendida que permite a resolução acelerada de desafios de segurança comuns.
5.Fortalecimentode Cibersegurança como um fator inegociável, sendo prioridade para todos os times.
Vale destacar que implementar uma cultura de segurança descentralizada e forte não é um projeto de curto prazo, mas de médio e longo prazo, pois trata-se de inserir Cibersegurança como um valor da cultura organizacional. Isso requer pensamento a longo prazo, mudança na forma de pensar e de atitudes e crenças dos colaboradores da empresa.
Feliz mês de Conscientização de Cibersegurança, e lembre-se que grandes mudanças ocorrem a partir de pequenos passos e da constância e insistência na execução.
Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás:abra sua conta na Mynte invista com o apoio de especialistas e com curadoria dos melhores criptoativos para você investir.
Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok