Por que o mindset de segurança é crucial para o sucesso da empresa?
Área de segurança como parceira estratégica do negócio é questão de cultura empresarial
Com o risco cibernético sendo constantemente apontado como um dos cinco maiores riscos do mundo atual pelo Fórum Econômico Mundial, vem à cabeça a importância da cultura de segurança. Mais especificamente, a formação do mindset de segurança ou mindset do atacante. Mas o que isso significa?
Vamos pensar em um caso específico. Quando as impressoras 3D foram popularizadas (ou um pouco mais difundidas), grande parte do mundo pensou em como seria incrível poder produzir itens dentro de casa. Levantar um modelo para ver como ficaria a reforma da sua casa, produzir utensílios para usar e até construir casas inteiras usando esta tecnologia. Incrível, não?
Essa é a forma de pensar mais comum diante de uma inovação. Outra maneira seria: que tecnologia incrível, mas espere! E se isso fosse usado para infringir propriedade intelectual e simplesmente clonar produtos protegidos por patentes e direitos de marca? Mais ainda: E se fosse usado para produzir equipamentos controlados, como armas. E se isso ganhar escala e potencializar o comércio de itens ilegais?
Bom… claramente essa é outra forma de enxergar o mundo.
Nada contra impressão 3D. Aliás, sou fã! Trata-se de um mero exemplo do que é o mindset de segurança. É um tipo de pensamento diferente ao olhar o mundo sobre a perspectiva do atacante, do adversário, do criminoso. Mas o foco não está em cometer crimes. Ao enxergar o mundo através destas lentes, identifica vulnerabilidades e possíveis formas de falhar. O objetivo é reportar as falhas e construir um sistema de segurança para este caso.
Não se trata de um olhar paranoico e sim de um olhar treinado. Um bom médico é treinado para olhar para partes do corpo e perceber sinais que outras pessoas não dariam atenção. Um bom engenheiro é treinado para pensar em como as coisas poderiam funcionar. Um profissional de segurança é treinado para pensar como um adversário. Somente assim é possível identificar a maioria dos problemas de cybersecurity.
E qual a importância do mindset de segurança?
Em um mundo cada vez mais conectado, vemos designers intensamente ocupados em desenvolver sistemas de votos, dispositivos médicos, pagamentos eletrônicos até colheitadeiras comandadas por software com a melhor relação/experiência possível. Estão, portanto, focados em garantir que tudo funcione.
Já o pensamento de segurança (ou do adversário) garante um olhar para identificar eventuais falhas e garantir que estes produtos continuem funcionando. Estou seguro que sua empresa está em algum ponto do processo de transformação digital e vem investindo um razoável esforço em criar produtos digitais. Quanto de mindset de segurança está sendo aplicado a este processo?
Para além da sua organização: como sua vida, a da família, de amigos estão associadas ao mundo digital? Já pensou em quantas vezes por dia você não é abordado por propostas fraudulentas por e-mail, SMS, telefone e tantos outros meios? Quanto mais mindset de segurança você construir, mais estará preparado para evitar problemas. Por este motivo, os programas de conscientização de usuários são tão importantes em empresas e escolas. O mindset de segurança não é necessariamente algo que se nasce com ele, mas sim uma forma de pensamento que precisa ser ensinada.
Na sua organização, provavelmente existem profissionais de segurança da informação, mas talvez sejam profissionais vistos como um obstáculo a ser superado. Ocorre que o mindset de segurança também é e está em evolução para os profissionais do segmento. Quando a segurança da informação surgiu, a mentalidade realmente estava mais associada a identificar e proibir abusos, usos indevidos, com uma política estrita de bloqueios. O famoso deny all – restringindo acessos até que os indivíduos ou situações se provem confiáveis. Ocorre que a tecnologia de segurança evoluiu para mecanismos mais sofisticados e que permitem unir segurança com conveniência.
Do mesmo modo, os bons profissionais e líderes de segurança evoluíram para o pensamento do atacante e, ao mesmo tempo, alinhando estes controles com os interesses de negócio da empresa. Propiciando, assim, controle sem causar atrito na experiência final e cada vez mais buscando construir sistemas e produtos digitais seguros desde sua gênese. O fato é que este mindset de segurança evoluiu para um pensamento mais amplo de risco cibernético da organização. Já as áreas de segurança se organizaram para, ao invés de serem bloqueadoras de projetos/atividades, passaram a atuar como parceiros estratégicos do negócio.
No fim do dia: quanto mais educação em segurança digital no nível pessoal e no nível empresarial maior probabilidade de sucesso do que produtos digitais que não respeitam regras de segurança e privacidade de dados. No nível empresarial, as lideranças devem promover este tipo de olhar nos conselhos para garantir não que as “coisas” funcionem, para isso já existem muitos olhares treinados. Mas sim para que elas não deixem de funcionar, esse é o mindset de segurança.
