Por que a segurança cibernética precisa ser um trabalho de todos — e quatro passos para começar

Os CISOs precisam repensar como gerenciar o risco cibernético como uma prioridade organizacional.

Normalization_v2_1440x840.jpg

Principais conclusões:

    • Os riscos cibernéticos não são ameaças exóticas; eles são apenas outra forma de risco para os negócios
    • Os CISOs devem manter o foco dos orçamentos primeiro nas pessoas e processos e depois na tecnologia
    • Promover uma cultura de abertura em torno da segurança ajuda as organizações a aceitar e gerenciar melhor os riscos

A cada ano, as empresas investem mais dinheiro em seus orçamentos de segurança cibernética — foram mais de US$ 262 bilhões coletivamente em 2021, contra apenas US$ 3,5 bilhões há cerca de 20 anos. No entanto, todo ano, os ataques, violações e prejuízos continuam a aumentar. Empregar as mesmas táticas esperando resultados diferentes não é uma abordagem racional para gerenciar o risco de segurança cibernética. 

Obviamente, algumas táticas de segurança — como definir níveis aceitáveis de risco, usar seguro de responsabilidade para transferir parte desse risco e mitigar danos quando isso acontecer — continuam sendo importantes para reduzir o impacto dos ataques. No entanto, os líderes empresariais precisam repensar sua estratégia organizacional. A segurança empresarial é importante demais para ser responsabilidade exclusiva de alguns poucos especialistas, como acontece há anos. Ela precisa ser incorporada ao trabalho de todos na empresa. 

Aqui estão quatro estratégias que os CISOs devem considerar para ajudar a colocar a gestão de riscos cibernéticos em um caminho melhor.

1. É hora de normalizar o risco de segurança cibernética

Primeiro, as organizações precisam mudar sua forma de pensar sobre os riscos cibernéticos. Os ataques cibernéticos têm sido tradicionalmente vistos como uma ameaça única e exógena, separada de outros aspectos da gestão de riscos corporativos. Isso precisa mudar. 

O risco cibernético é um risco para os negócios. Ele precisa ser incorporado ao framework de gestão de risco de todas as empresas e gerenciado com algumas das mesmas metodologias usadas na modelagem de riscos financeiros e operacionais. Se os CFOs e COOs conseguem dormir em paz, seus colegas de segurança também devem conseguir fazê-lo.

De muitas maneiras, a segurança cibernética não é um problema de tecnologia: é organizacional. Os processos de segurança devem ser tão fundamentais para a empresa quanto aqueles para integrar funcionários ou projetar ótimas experiências para o cliente. Eles precisam receber a mesma consideração que todas as outras funções de negócios necessárias, juntamente com uma proporção equivalente de financiamento e funcionários. 

A segurança também precisa ser mais proativa e menos reativa. Da mesma forma que uma empresa não espera para contratar a equipe de vendas até depois do lançamento de um produto, ela não deve esperar que um grande incidente aconteça para financiar uma equipe de segurança cibernética e implementar os processos certos.

É certo que as organizações continuarão a sofrer violações graves; as questões mais importantes são se elas tomaram medidas razoáveis para evitá-las e com que eficácia elas respondem. 

2. Mantenha o foco nas pessoas, nos processos e na tecnologia — nessa ordem

Em seguida, os CISOs precisam reconsiderar onde estão concentrando seus recursos. Seus orçamentos devem seguir um conjunto claramente definido de prioridades, e a tecnologia não deve — na maioria dos casos — estar no topo. A primeira prioridade são as pessoas, e isso significa investir para dar aos seus funcionários um treinamento sobre hábitos de segurança adequados, para ensinar e requalificar as suas equipes, e para fortalecer a cultura de segurança.

A próxima prioridade nos gastos deve ser os processos internos. Por exemplo, com que grau de abrangência e minúcia a organização ensaiou o que fará no caso de um ataque de ransomware? Comunicações internas e externas, planejamento de continuidade operacional e como (ou se) deve acontecer a interação com os invasores são ações mais bem planejadas antes da ocorrência de uma situação de crise.

Terceiro, somente depois que os problemas mais urgentes relacionados a pessoas e processos foram resolvidos, os CISOs devem investir em ferramentas de tecnologia para ajudar a reduzir e gerenciar ameaças. 

3. Mais recompensas, menos repreensões

Quase 9 em cada 10 violações de dados são resultado de erro humano, de acordo com um estudo recente realizado por pesquisadores da Universidade Stanford. E apesar de empresas gastarem mais de US$ 1 bilhão anualmente em treinamento de conscientização sobre segurança, é improvável que isso mude. As empresas precisam encontrar novas maneiras de recompensar boas práticas de segurança.

Envergonhar os funcionários por deslizes de segurança, por exemplo, não os torna mais vigilantes. Na maioria das vezes, isso apenas os assusta, os cala e os torna menos propensos a falar. Ou eles podem tentar resolver o problema por conta própria e piorá-lo sem saber. Se eles trabalham em um setor altamente regulamentado, isso pode levar a sanções.

Em vez disso, as organizações precisam promover uma cultura de abertura em torno da segurança, incentivando os funcionários a fazer perguntas e levantar bandeiras vermelhas. Algumas empresas enviam ataques de phishing simulados e recompensam com vales-presente e outras vantagens os funcionários que os identificam com sucesso. Outros oferecem reconhecimento público para os funcionários que passam no treinamento de segurança exigido. Praticamente qualquer forma de reconhecimento positivo é um passo na direção certa.

4. Facilite o uso das ferramentas de segurança

Grande parte dos bilhões de dólares que as empresas gastam em tecnologia de segurança são investidos em software de prateleira que nunca é usado. Em muitos casos, são ferramentas complicadas que exigem especialistas em seu uso, e essas pessoas são escassas. Com uma falta de mão de obra de segurança que não vai acabar tão cedo, de acordo com a Information Systems Security Association (ISSA) e a empresa de análise de mercado Enterprise Strategy Group (ESG), a tecnologia de segurança precisa se tornar mais fácil de usar.

Ferramentas mais simples não apenas permitiriam que os CISOs contratassem mais pessoas para lidar com funções essenciais de segurança, mas também abririam a força de trabalho para uma gama mais diversificada de indivíduos com diferentes formações e conhecimentos técnicos. Os engenheiros também precisam investir mais de seu tempo para fornecer dashboards fáceis de entender, para que os executivos seniores e outras pessoas menos técnicas possam compreender o estado atual do risco.

Uma das razões pelas quais a minha empresa, a Elastic, oferece um conjunto de tecnologia gratuito e aberto é incentivar e habilitar uma comunidade vibrante de colaboradores. Também acreditamos que abrir os produtos para um público mais amplo de desenvolvedores os torna mais seguros.

A segurança empresarial não pode continuar sendo uma função isolada, controlada por uma equipe de especialistas. Ela deve fazer parte das responsabilidades de todos. Fazer isso pode ajudar as empresas a ir além de simplesmente reagir a crises e entrar em um novo paradigma no qual elas gerenciem a segurança cibernética com eficiência, como qualquer outro risco.

Nate Fick é gerente-geral de Segurança da Elastic.