CISOs lutam contra brechas no LinkedIn e alertas de Gmail

O EC-Council, que realiza a certificação Certified Ethical Hacker, programou para outubro a realização do Global CISO Forum, em Miami (EUA), aberto apenas a um número restrito de executivos seniores da área de segurança da informação. A ideia é discutir o momento de crescimento da complexidade e de alertas aos usuários de internet. Aparentemente, quando os delatores conseguem driblar a critopgrafia de senhas do LinkedIn e ataques patrocinados por Estados surgem como ameaças aos usuários de Gmail, é chegado o momento dos CISOs globais iniciarem um trabalho mais forte.

O encontro, programado em conjunto com a conferência de segurança da informação do EC-Council, receberá CISOs das maiores e mais prestigiadas empresas do mundo para falar de como esses eventos extremos afetam suas companhias e o que eles podem fazer sobre isso.

Mas como um fórum desses pode auxiliar na prevenção de perda de dados? A primeira questão é que ele oferece um grande momento para troca de informações. Há muito tempo os delatores se organizaram bem e passaram a compartilhar dados gratuitamente. ?Mas por conta de propriedade, questões governamentais ou qualquer outra fronteira, nós, guardiões da informação, não compartilhamos dados tão bem quanto os cibercriminosos?, afirma Amber Willians, gerente de iniciativas estratégicas no EC-Council. ?Este fórum está desenhado para promover troca de ideias e discussões. Até sete especialistas por painel irão trazer muitas respostas buscadas há tempos pela audiência.?

Tudo isso é muito bom, mas, de acordo com Danny Lieberman, CTO da Software Associates, muitos CISOs e profissionais de segurança já sabem o que precisa ser feito para medidas apropriadas de segurança. Por exemplo, encriptação é uma questão complexa na segurança dos dados e diversos estudos apontam bons provedores desse tipo de solução.

Mas esse é um problema que o CEO precisa saber e comprar a ideia de investir.

Embora o EC-Council assista a um crescimento de público presente em seus eventos a cada ano, Willians afirma que, no caso do Global CISO Forum, a ideia é nivelar em, no máximo, 200 participantes. O objetivo é atrair executivos de alto nível de forma que eles se sintam a vontade para falar não apenas de boas práticas, mas, também, dos problemas que enfrentam diariamente, sem medo de afetar suas marcas.

A instituição tem focado muito a questão de ?integrar jogos de guerra às estratégias de segurança?. Outros tópicos de discussão planejados para o encontro incluem: recrutamento, treinamento e gestão dos times de segurança; prevenção à perda de dados; branding interno e integração do programa de segurança alinhado aos objetivos do negócio. Para o EC-Council, uma das razões para os contínuos problemas de segurança é o conflito entre objetivos de seguranças e os times de desenvolvimento de negócio. O fórum quer ajudar nesse sentido e encorajar uma atmosfera para compartilhamento de boas práticas.

O momento é bom, mas está claro que, sem aprovação do CEO, nada que não demonstre o real valor ao negócio será aprovado. É por isso que os CISOS precisam dar uma atenção especial ao alinhamento aos objetivos do negócio.

O CISOs devem realmente usar esse fórum para perguntar e entender como montar um projeto com cara de negócio para levar ao CEO. Eles precisam entender como colocar a questão da ameaça e avaliação de riscos juntos e como convencer o CFO antes do CEO.

Lieberman ilustra um simples intercâmbio onde o CISO está preparado para uma conversa franca com o CEO. ?Há um X porcentual de chance de alguém roubar a propriedade intelectual de nossa companhia. Eu coloquei um time para avaliação de risco e eles chegaram a esse número. Caso esse roubo ocorra, nos custará US$ 20 milhões. Para resolver e proteger nossa propriedade intelectual eu preciso de mais dois funcionários e US$ 1 milhão para compra de hardware e software.?

Outra preocupação para muitos executivos de segurança, aponta Alan Shimel, gerente do The CISO Group, é a mudança na natureza da ameaça. Muitos CISOs de hoje vêm de um momento onde fraude financeira e cibercrime eram os únicos motivos para ataques. ?Agora, essas pessoas continuam motivadas pela questão financeira, mas em vez de roubo de identidade eles buscam propriedade intelectual.?