5 dicas para um programa de segurança bem sucedido

A proliferação da tecnologia no ambiente de trabalho, inovações como o BYOD (Bring Your Own Device), nuvem, acesso global e as redes sociais dificultam a vida dos CISOs (Chief Information Security Officers) na busca de uma abordagem eficaz para defender dados confidenciais das empresas e proteger a valiosa propriedade intelectual. 

Nesse cenário de ameaças tão dinâmico, empresas e os governos lutam constantemente contra o cibercrime organizado e o hacktivismo. Com malwares como o Flame, Stuxnet e Shamoon disponíveis para os cibercriminosos, os CISOs precisam estar um passo à frente e se preparar para ataques adequadamente. 

Para que esses gestores possam ser mais assertivos nas iniciativas de segurança da informação, Max Grossling, gerente sênior de Programas Técnicos da Websense, especializada na área, aponta algumas medidas que podem ser implementadas imediatamente para valorizá-los dentro da empresa e proteger contra ciberataques avançados. 

Veja a seguir cinco dicas que ele recomenda aos CISOs para estabelecer um programa de segurança bem sucedido e manter sua empresa segura são:  

1- Entenda sua empresa
A segurança não administra uma empresa, mesmo na indústria de segurança. Muitas vezes, iniciativas para gerar lucros, como vendas e marketing, tendem a ser mais importantes que a segurança. Em muitos casos a segurança é deixada de lado. 

Em uma tentativa de mudar isso, os CISOs devem se envolver ativamente com o ciclo de vida de desenvolvimento do produto ou serviço da empresa e integrar a segurança de maneira estratégica para ampliar seu valor financeiro. 

Os riscos e ameaças que sua empresa enfrenta são extremamente reais e podem ter repercussões se você optar por uma abordagem mais reativa para a segurança. Seja proativo, informe a diretoria que a segurança pode ser um grande diferencial financeiro. Um exemplo pode ser seu envolvimento com os produtos que sua empresa produz. Diferente de outros grupos da área de TI, a segurança precisa pensar nas ameaças.  

Você deve incorporar esse pensamento em cada processo, estratégia e comunicação. Mais segurança pode aumentar a rentabilidade e preservar os dados da empresa. Mesmo assim, as fases de planejamento da sua estratégia de segurança TI não devem ser apressadas. Ir devagar é a maneira mais rápida de criar uma arquitetura de segurança de TI eficaz e metódica. 

2- Conheça o papel da segurança
No ambiente atual, a tecnologia consome a todos. Geralmente são esquecidas as pessoas e os processos, fatores essenciais para o sucesso das empresas. Como líderes, os CISOs precisam vender ideias. A tecnologia sozinha é um curativo e precisa andar de mãos dadas com outros elementos. 

Se você quer um sistema de segurança de TI abrangente, deve integrar governança e processos para garantir o sucesso. Além disso, a educação é essencial. Eduque por todos os lados. Todos os seus funcionários, desde os diretores até o pessoal de atendimento ao cliente e seu departamento de instalações, devem ter uma compreensão mútua da missão e estratégias do seu departamento.   

Uma maneira de cultivar essa compreensão é atacar a sua própria empresa. Isso deve testar o conhecimento de seus funcionários quanto às ameaças atuais, como reconhecer essas ameaças, o que dará a você uma boa ideia de como reagir. Esse também é um item importante a ser compartilhado com sua empresa. 

Outra maneira poderia ser desafiar seu help desk a identificar como eles roubariam uma senha durante o processo de redefinição da senha. Isso deve identificar possíveis casos de abuso. E também é uma forma de educar o grupo em relação a ameaças externas. A maioria dos funcionários está interessada nisso e pode até considerar divertido “bancar o vilão” de vez em quando. 

3- Compreenda a “informação”
A compreensão do valor relativo da informação é uma ferramenta poderosa. Seu objetivo final deve ser obter sabedoria e conhecimento sobre a função da segurança de TI e como isso afeta a sua empresa. Outro objetivo deve ser de transformar um grupo de segurança em uma equipe de inteligência de segurança.  

Os CISOs precisam de mais que apenas dados e informações. Eles precisam ter capacidade de analisar essas informações e aproveitar as suas descobertas para contar uma história convincente. Ao fazer isso, você viabiliza o desenvolvimento de um programa de segurança que proteja sua empresa contra a perda e o roubo de dados de maneira adequada. 

Outro aspecto da compreensão de informação é a liderança. Sua equipe de liderança não deve apenas buscar liderar seu departamento. É preciso agir como líderes da empresa para oferecer mensagens claras, relevância, contexto e oportunidades de relatar informações importantes à administração da empresa. 

Somente assim é possível tomar decisões com eficácia. Isso também ajuda a obter aceitação daqueles que só veem as margens de lucro e seu programa como um item de linha no orçamento deles.

4- Crie governança
Por definição, a governança é a capacidade de descrever expectativas, conferir, e poder e validar desempenho. Isso pode ser conseguido criando uma declaração de missão poderosa para suas iniciativas de segurança da informação dentro da empresa. 

Ao fazer isso, você está claramente definindo a quem a segurança de TI se reporta, além dos seus papéis e responsabilidade. Garantir o alinhamento operacional entre todos os departamentos ajudará a envolver sua empresa inteira, aumentando a consciência de sua arquitetura de segurança. 

5- Converta risco em iniciativas financiadas
Por último, mas certamente não menos importante, você deve aproveitar o seu modelo de governança para transformar iniciativas de segurança da informação em esforços financiados. 

Ao colaborar com a administração para determinar sua missão, prioridades e iniciativas, seus projetos serão transformados de maneira inerente em metas com o apoio de todos. Também é muito importante manter a administração informada quanto a riscos, novidades e informações. Os diretores querem ver suas iniciativas e o que você tem a oferecer. 

Essas iniciativas podem ajudar a construir uma base forte para a estratégia de segurança de sua empresa. É um trabalho para definir riscos, estabelecer segurança e então encontrar o equilíbrio entre esses dois fatores. 

Não desperdice oportunidades de educar as pessoas. Cada ataque e violação divulgado é uma oportunidade para você aproveitar aquela ameaça, comunicar o risco e construir uma estratégia. Ao mesmo tempo, você planta uma semente para esforços futuros, comunicando seu plano de ataque e vendendo suas ideias.  Com uma mentalidade proativa, você estará em uma posição melhor para frustrar ataques avançados e proteger os dados de sua empresa.