Tecnologia e segurança: o primeiro passo é sempre o mais difícil

Podemos definir a cultura organizacional como um conjunto de crenças e comportamentos que orientam como os funcionários e os gestores interagem, tanto interna quanto externamente.

A cultura corporativa forte é marcada por uma visão clara dos objetivos da empresa e dos princípios que o negócio defende, representando assim os costumes diários adotados por grupos de pessoas que trabalham na organização.

No geral, a cultura corporativa engloba a narrativa que a empresa decide apresentar ao mundo e que guia suas crenças e ações.

• Aprenda com especialistas como investir em ativos que valorizaram até 800% em um ano.

No entanto, sabemos que mudar a cultura corporativa de uma empresa é um grande desafio pois envolve valores, crenças, normas e pressupostos profundamente enraizados, desenvolvidos ao longo do tempo.

Para que uma empresa possa atingir um alto nível de maturidade em segurança e privacidade neste cenário, é fundamental ir além da tecnologia, criação de processos e treinamento das pessoas. Mais do que tudo é preciso enraizar a segurança e privacidade como parte integrante da cultura organizacional, reforçando crenças e comportamentos seguros.

E uma transformação cultural de segurança requer uma abordagem cuidadosa e estratégica. A seguir, definimos três passos que podem ajudar nessa jornada.

• Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás: abra sua conta na Mynt e invista com o apoio de especialistas do BTG Pactual e a curadoria dos melhores criptoativos para você investir.

Primeiro Passo: Entender profundamente os elementos centrais da cultura atual e determinar quais aspectos precisam mudar. No caso de segurança e privacidade algumas perguntas simples podem ajudar a entender o cenário.

Isso exige uma avaliação honesta para identificar práticas ou mentalidades problemáticas.
● Como o assunto segurança e privacidade é encarado pela camada executiva?
● O tema é tratado como “custo” necessário ou como requisito fundamental para o negócio?
● Trata-se de uma competência central?
● É visto como diferencial competitivo? Como o tema é tratado no relatório de resultados?

Segundo Passo: Entendendo o cenário atual a administração precisa estar genuinamente comprometida com a mudança e disposta a questionar velhos hábitos e suposições. Os líderes devem dar o exemplo adotando novos comportamentos e comunicando claramente a nova direção desejada. As mudanças precisam vir de cima para baixo, ou seja, ser seguro depende do exemplo.

Algumas questões para reflexão:
● Como e quando o CEO e executivos da empresa lembram e falam do tema de segurança e privacidade? Falam somente quando ocorre um “incidente” ou problema?
● Existem indicadores de negócio relacionados a segurança e privacidade que permeiam toda a organização?
● Como esses indicadores impactam a análise de performance dos colaboradores?

Para que uma empresa seja realmente mais segura, os funcionários de todos os níveis devem ser engajados no processo. Os treinamentos, workshops e novos sistemas de incentivos ajudam a incorporar os novos valores, no entanto vale lembrar que a transformação cultural leva tempo.

O sucesso de curto prazo não garante que a mudança foi totalmente absorvida e também a ausência de “resultados expressivos” a curto prazo não deve ser motivo para não continuar. Mudança cultural bem-sucedida exige uma jornada gradual, contínua e persistente.

Nesse cenário, os líderes precisam ter paciência e persistência para consolidar as mudanças ao longo de anos, especialmente quando falamos de adoção de comportamentos mais seguros.

Terceiro Passo: Distribuir uma postura de cibersegurança. A distribuição dessa responsabilidade por toda a corporação, como as áreas de finanças, marketing, vendas, recursos humanos e tecnologia da informação, que possuem necessidades e prioridades distintas, é um grande desafio. Convencer todos de que a cibersegurança é essencial e deve ser levada a sério não é uma tarefa fácil.

O departamento de TI e Segurança precisa conscientizar os outros sobre a importância de boas práticas como senhas fortes, adoção de múltiplos fatores de autenticação, atualizações de software, backup de dados, controles de acesso, desenvolvimento de código seguro, entre outros.

Porém, cada área tende naturalmente a focar apenas em suas metas específicas e pode ver a cibersegurança como uma distração ou obstáculo. Para mudar essa mentalidade, é preciso mostrar o valor da cibersegurança para o negócio como um todo.

Um vazamento de dados confidenciais ou uma invasão nos sistemas pode prejudicar gravemente as operações e a reputação da empresa. Portanto, a segurança cibernética deve ser encarada como uma responsabilidade compartilhada. Campanhas internas de conscientização, treinamentos, políticas claras e apoio da alta gestão são essenciais.

A cibersegurança precisa fazer parte da cultura corporativa, com todos entendendo seu papel nesse esforço. Apenas assim ela poderá ser efetivamente implementada em todas as frentes da organização.

Talvez nesse momento você leitor esteja se perguntando: OK, na teoria é muito bonito mas tem alguma empresas que já conseguiu implementar esse modelo de responsabilidade compartilhada de segurança?

No início de junho ocorreu na Philadelphia (USA) o evento de segurança anual da AWS (Amazon Web Services), chamado re:Inforce. Durante o Keynote, os chefes de segurança da AWS (Chris Betz) e da Amazon (Steven Smith) falaram como a empresa adota uma cultura de segurança descentralizada trazendo alguns exemplos práticos de como a segurança e privacidade de dados foram enraizados na cultura organizacional.

Vale destacar os exemplos abaixo:

● Os times de produtos são responsáveis pela segurança dos seus produtos, ou seja, da mesma forma como se preocupam com a usabilidade e adoção, a segurança passa a ser um atributo mensurável e enraizado no produto. Vejam que é o dono do produto e não somente a área de tecnologia ou segurança que garante a sua segurança.

● Ocorrem reuniões semanais da alta gestão (C-Level mesmo), onde a pauta principal é falar de cibersegurança, riscos, medidas de proteção, métricas e boas práticas. Aqui a discussão é frequente, e no nível estratégico, não somente no nível tático.

● Os times de segurança passam a ter um papel muito mais de habilitadores, criando automações, mecanismos e práticas de segurança escaláveis que podem ser usadas pelos times de produtos. Ou seja, existem regras automatizadas pela engenharia de segurança que são consumidas como software pelos times de produtos.

● Existem treinamentos de segurança obrigatórios para todos os níveis e customizados para cada função. Por exemplo, os desenvolvedores têm treinamentos mais técnicos, mas no final todos os colaboradores têm treinamentos de segurança periódicos.

● Dentro da companhia a segurança é tratada como um requisito inegociável, é premissa para a execução de qualquer coisa. Se você perguntar para um colaborador da AWS qual a importância de segurança, ele responderá que é prioridade (top priority).

Esses são apenas alguns exemplos, mas lembre-se que para implementar essa mudança de cultura organizacional na sua empresa, você precisará dar o primeiro passo entendendo profundamente os elementos centrais da cultura atual.

Depois disso é primordial obter o apoio da alta administração de forma genuína, disposta a questionar velhos hábitos. Por último, mas não menos importante, implementar uma política de descentralização de segurança, medindo continuamente como os times estão performando em relação a segurança, criando inclusive incentivos (até mesmo financeiros) para adotar uma postura proativamente segura.

Não é impossível, mas é preciso dar o primeiro passo. Grandes transformações começam com o primeiro passo.

Espero que tenham gostado da leitura e lembrem-se: IA e segurança são gêmeos inseparáveis. Não é possível começar um projeto de IA sem pensar em segurança, assim como não é possível começar um projeto de cibersegurança sem considerar o uso de IA.

Uma nova era da economia digital está acontecendo bem diante dos seus olhos. Não perca tempo nem fique para trás: abra sua conta na Mynt e invista com o apoio de especialistas do BTG Pactual e a curadoria dos melhores criptoativos para você investir.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok