Para Rangel Rodrigues, advisor em Segurança da Informação, a figura do CISO deve abranger características de liderança e comunicação, além de um plano de ação que envolva várias áreas de negócios, bem como orquestrar a sua estratégia junto aos colaboradores, com o apoio de áreas como Recursos Humanos, Jurídico e Compliance.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Tenho pensado sobre como eu poderia descrever o pensamento de um Security Officer. Logo imaginei em algo como Frameworks, Governança, Operações de Segurança, Educação, Threat Inteligence, Gerenciamento de Risco, Arquitetura, etc. Para quem conhece a história do Simba, personagem do filme Rei Leão, mostra que a sua maior ameaça foi sempre o seu tio Scar, que acabou armando uma cilada e matando o seu pai, Mufasa, e o expulsou da sua terra para um local bem longe, mas foi ali, naquela terra distante, em um momento oportuno, que ele reconheceu o seu propósito e que ele foi feito para governar.
Em outras palavras, como diz o sábio: o seu maior potencial de governo está estampado dentro de você e quando você entende e resgata a sua identidade passa a governar. Todo líder foi feito para governar e na realidade corporativa se você recebeu uma atribuição para gerir um projeto ou uma área de segurança, não importa qual seja o tamanho da ameaça, mas é a sua capacidade de agir contra situações críticas que conta e onde é preciso o senso de urgência e resiliência.
Para muitos líderes de segurança, alguns temas têm aterrorizado as suas noites sem sono, seja um ataque de ransomware, phishing, vazamento de dados interno ou em cloud. O advento da transformação digital com as novas tecnologias, como IoT no campo da saúde, têm sido algo muito discutido, como aconteceu em uma recente conferência de segurança que participei, quando dois pesquisadores americanos apresentaram um ataque de replay em uma bomba de insulina no qual eles interceptavam os pacotes de dados e detinham acesso e controle total do dispositivo, um risco para as crianças que usam este tipo de dispositivo.
Porém, a meu ver, existem outros fatores que também são relevantes e não são bem visualizados por alguns CSOs. Por isso, gostaria de esmiuçar abaixo algumas ameaças obscuras e às vezes negligenciadas:
Seja um bom vendedor -> Se não tiver um patrocinador no C-level enxergando a segurança como um investimento, seu plano poderá ser engavetado e falido com o tempo. Você pode até iniciar o projeto de cibersegurança, mas não conseguirá elevar a cultura de segurança se não houver o suporte top down.
Torne o CIO, CRO e/ou CTO seus parceiros e não inimigos -> Dependendo do formato da sua empresa, a parceria com estes executivos é primordial para o sucesso do projeto. Por isso, volto a ressaltar que ser articulado e ter uma boa comunicação para ser capaz de estabelecer relacionamentos como um conselheiro confiável, com diferentes linhas de negócio traduzindo a segurança técnica com os objetivos de negócios e alavancando a importância da gestão de risco em segurança da informação, deve ser promovida por todos.
Ausência de um comitê de segurança -> Há alguns anos atrás eu tive uma experiência como Security Officer em uma empresa de BPO, depois de elaborar o plano de gestão de segurança da informação e buscar o apoio do CIO, VPs das linhas negócio e do CEO. Contudo, a criação de um comitê de segurança envolvendo representantes das principais áreas foi um fator para impulsionar o crescimento da cultura de segurança, uma vez que em pouco mais de seis meses os líderes de outras áreas me procuravam para compartilhar as suas preocupações com a proteção dos dados. Em suma, a ausência de um comitê pode ser outra ameaça que poderá não contribuir para o desenvolvimento do seu projeto de cibersegurança.
Parcerias com Recursos Humanos, Segurança Patrimonial ou Facilities, Jurídico e Compras -> Proteção de dados é valioso para as organizações, incluindo a privacidade da informação, quando se pensa em parceiros de negócios e provedores de serviços – inclusive a “nuvem”-, é primordial para manter um processo de gestão de segurança em provedores de serviços. Isso significa que é preciso mapear este processo envolvendo o RH, Segurança Patrimonial, Jurídico e principalmente o departamento de Compras, estabelecer um fluxograma que envolva a de área segurança da informação para mapear estes gatinhos que aparecem em reuniões com as áreas de negócios para que você possa proteger a reputação da sua empresa. Mas, infelizmente, ainda é comum encontrar empresas que não executam um processo semelhante.
Treinar e tornar parceiros os colaboradores -> Acima de tudo lidamos com pessoas. Por isso, técnicas de psicologia devem ser aplicadas no sentido de evangelizar os conceitos de cibersegurança em preocupações como phishing, ransomware, engenharia social e proteção da privacidade. A mente humana é como fosse a memória RAM, todos os eventos são gravados em espaços na memória e nada pode ser apagado. No entanto, esses processos podem ser editados. Dessa forma, um hábito de um colaborador propício a clicar em um e-mail phishing pode ser evitado por meio de palestras de conscientização destes conceitos com os colaboradores. Além de criar um representante de segurança em cada área, essa ação é uma estratégia fundamental para expandir a importância deste material para todos da organização, mostrando que são responsáveis e fazem parte do processo. Podemos ter todos os recursos em mãos, mas se não aplicarmos uma conscientização, o funcionário pode se transformar num vilão contra a cultura, na qual você deve implantar.
Ausência de recursos tecnológicos -> Embora já saibamos que a necessidade de recursos tecnológicos é essencial para o projeto do Security Officer, sem essas ferramentas não será possível alcançar o pico do Everest. Todo alpinista que deseja escalar e chegar ao topo da montanha precisa se preparar, treinar, ter oxigênio suficiente, equipamentos de segurança, alimento e água, material adequado, etc. Caso contrário, pode estar caminhando para o vale da morte. Portanto, possuir soluções como EDR, NGAV, WAF, SIEM, MFA, APT, User Behavior Analylics, criptografia para dados sensíveis, CASB, soluções de virtual patching como Deep Security, quando se trata de cloud, é uma questão de sobrevivência. Estou abordando aqui soluções específicas para a segurança cibernética, inúmeras no mercado. O ponto é escolher qual é a mais adequada para seu ambiente.
Neste contexto e com base em avaliações realizadas, vivência neste campo e analisando diversos relatórios de ameaças dos principais players de segurança cibernética e trocando experiências com outros profissionais, concluo que a lista abaixo seja talvez os maiores desafios para os líderes e profissionais de segurança e todos devem ter em mente e precisam encarar:
Este artigo foi publicado no portal Security Report.
Em outras palavras, como diz o sábio: o seu maior potencial de governo está estampado dentro de você e quando você entende e resgata a sua identidade passa a governar. Todo líder foi feito para governar e na realidade corporativa se você recebeu uma atribuição para gerir um projeto ou uma área de segurança, não importa qual seja o tamanho da ameaça, mas é a sua capacidade de agir contra situações críticas que conta e onde é preciso o senso de urgência e resiliência.
Para muitos líderes de segurança, alguns temas têm aterrorizado as suas noites sem sono, seja um ataque de ransomware, phishing, vazamento de dados interno ou em cloud. O advento da transformação digital com as novas tecnologias, como IoT no campo da saúde, têm sido algo muito discutido, como aconteceu em uma recente conferência de segurança que participei, quando dois pesquisadores americanos apresentaram um ataque de replay em uma bomba de insulina no qual eles interceptavam os pacotes de dados e detinham acesso e controle total do dispositivo, um risco para as crianças que usam este tipo de dispositivo.
Porém, a meu ver, existem outros fatores que também são relevantes e não são bem visualizados por alguns CSOs. Por isso, gostaria de esmiuçar abaixo algumas ameaças obscuras e às vezes negligenciadas:
Seja um bom vendedor -> Se não tiver um patrocinador no C-level enxergando a segurança como um investimento, seu plano poderá ser engavetado e falido com o tempo. Você pode até iniciar o projeto de cibersegurança, mas não conseguirá elevar a cultura de segurança se não houver o suporte top down.
Torne o CIO, CRO e/ou CTO seus parceiros e não inimigos -> Dependendo do formato da sua empresa, a parceria com estes executivos é primordial para o sucesso do projeto. Por isso, volto a ressaltar que ser articulado e ter uma boa comunicação para ser capaz de estabelecer relacionamentos como um conselheiro confiável, com diferentes linhas de negócio traduzindo a segurança técnica com os objetivos de negócios e alavancando a importância da gestão de risco em segurança da informação, deve ser promovida por todos.
Ausência de um comitê de segurança -> Há alguns anos atrás eu tive uma experiência como Security Officer em uma empresa de BPO, depois de elaborar o plano de gestão de segurança da informação e buscar o apoio do CIO, VPs das linhas negócio e do CEO. Contudo, a criação de um comitê de segurança envolvendo representantes das principais áreas foi um fator para impulsionar o crescimento da cultura de segurança, uma vez que em pouco mais de seis meses os líderes de outras áreas me procuravam para compartilhar as suas preocupações com a proteção dos dados. Em suma, a ausência de um comitê pode ser outra ameaça que poderá não contribuir para o desenvolvimento do seu projeto de cibersegurança.
Parcerias com Recursos Humanos, Segurança Patrimonial ou Facilities, Jurídico e Compras -> Proteção de dados é valioso para as organizações, incluindo a privacidade da informação, quando se pensa em parceiros de negócios e provedores de serviços – inclusive a “nuvem”-, é primordial para manter um processo de gestão de segurança em provedores de serviços. Isso significa que é preciso mapear este processo envolvendo o RH, Segurança Patrimonial, Jurídico e principalmente o departamento de Compras, estabelecer um fluxograma que envolva a de área segurança da informação para mapear estes gatinhos que aparecem em reuniões com as áreas de negócios para que você possa proteger a reputação da sua empresa. Mas, infelizmente, ainda é comum encontrar empresas que não executam um processo semelhante.
Treinar e tornar parceiros os colaboradores -> Acima de tudo lidamos com pessoas. Por isso, técnicas de psicologia devem ser aplicadas no sentido de evangelizar os conceitos de cibersegurança em preocupações como phishing, ransomware, engenharia social e proteção da privacidade. A mente humana é como fosse a memória RAM, todos os eventos são gravados em espaços na memória e nada pode ser apagado. No entanto, esses processos podem ser editados. Dessa forma, um hábito de um colaborador propício a clicar em um e-mail phishing pode ser evitado por meio de palestras de conscientização destes conceitos com os colaboradores. Além de criar um representante de segurança em cada área, essa ação é uma estratégia fundamental para expandir a importância deste material para todos da organização, mostrando que são responsáveis e fazem parte do processo. Podemos ter todos os recursos em mãos, mas se não aplicarmos uma conscientização, o funcionário pode se transformar num vilão contra a cultura, na qual você deve implantar.
Ausência de recursos tecnológicos -> Embora já saibamos que a necessidade de recursos tecnológicos é essencial para o projeto do Security Officer, sem essas ferramentas não será possível alcançar o pico do Everest. Todo alpinista que deseja escalar e chegar ao topo da montanha precisa se preparar, treinar, ter oxigênio suficiente, equipamentos de segurança, alimento e água, material adequado, etc. Caso contrário, pode estar caminhando para o vale da morte. Portanto, possuir soluções como EDR, NGAV, WAF, SIEM, MFA, APT, User Behavior Analylics, criptografia para dados sensíveis, CASB, soluções de virtual patching como Deep Security, quando se trata de cloud, é uma questão de sobrevivência. Estou abordando aqui soluções específicas para a segurança cibernética, inúmeras no mercado. O ponto é escolher qual é a mais adequada para seu ambiente.
Neste contexto e com base em avaliações realizadas, vivência neste campo e analisando diversos relatórios de ameaças dos principais players de segurança cibernética e trocando experiências com outros profissionais, concluo que a lista abaixo seja talvez os maiores desafios para os líderes e profissionais de segurança e todos devem ter em mente e precisam encarar:
- Alinhamento estratégico da segurança com a visão do negócio;
- Assegurar um processo de gerenciamento de risco eficaz integrado com a política de segurança;
- Ter recursos tecnológicos capazes de proteger sua empresa contra ataques cibernéticos;
- Evitar a perda e vazamentos de dados e assegurar a proteção da privacidade, garantindo a conformidade com regulamentações;
- Redução de custo na cloud pode parecer um fantasma, pois a nuvem exige a implementação de soluções que usam machine learning e inteligência artificial para proteger a tal complexidade do ambiente.
Este artigo foi publicado no portal Security Report.
* Rangel Rodrigues é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP
Comentários
Postar um comentário