Existe uma desconexão entre os líderes empresariais e as equipes de segurança?

Existe uma desconexão entre os líderes empresariais e as equipes de segurança? 

Há apenas uma ou duas décadas, a ciber-segurança costumava ser uma preocupação apenas para os mais proeminentes agentes do mercado. Hoje em dia, na era da transformação digital, todos estão atentos, mesmo os menores negócios.

Manipular a segurança cibernética não é mais apenas proteger-se contra vírus e spyware e ocasionais hacks na rede, como no início do século. Agora, é manter a conformidade, confiança zero, evitar ataques de resgate, não cair no phishing bem focado, não ter suas aplicações web cheias de vulnerabilidades, manter não apenas o endpoint, mas também a segurança da nuvem… A lista de ameaças cibernéticas continua e continua.

Este rápido desenvolvimento, alimentado pelo crescimento explosivo de organizações criminosas especializadas em ciberataques, não é fácil de lidar, especialmente em setores como o de saúde ou serviços financeiros, freqüentemente alvo de cibercriminosos. Como resultado, as equipes de segurança cibernética muitas vezes se sentem como estruturas adicionais, não como algo totalmente integrado nas entranhas de uma organização. E em tais situações, as empresas sofrem consequências dolorosas de uma desconexão entre os líderes empresariais e as equipes de segurança.

Segurança cibernética e organização: amigos e inimigos ao mesmo tempo

O papel das equipes de segurança não é fácil: de certa forma, elas são a polícia interna da organização que vigia o trabalho dos outros. E, como com a polícia regular, isto causa uma recepção emocional mista por parte dos sujeitos observados. Alguns funcionários apreciam plenamente o fato de que alguém os vigia e se certifica de que suas ações não tenham conseqüências terríveis. Mas muitos ficam apenas irritados com as limitações ou se sentem desconfortáveis com alguém vigiando suas costas em tempo real.

Este relacionamento, que poderia ser melhor descrito como frenético, está tornando ainda mais difícil para os líderes empresariais, como os altos cargos de uma empresa, apreciar a necessidade de uma cobertura completa de segurança cibernética. Para tais equipes de liderança, uma equipe de segurança cibernética pode ser percebida não apenas como uma dor no orçamento, mas também como um fator que afeta negativamente o moral da empresa.

O sofrimento de trabalhar com desenvolvedores

A maior desconexão entre as equipes de segurança e o resto da empresa é vista no caso das equipes de desenvolvedores. Um estudo de 2021 encomendado pela VMware e conduzido pela Forrester Research constatou que 52% dos desenvolvedores pesquisados acreditam que as políticas de segurança estão sufocando sua inovação. Este estudo mostra que há algum progresso neste aspecto, mas que ainda há um longo caminho a percorrer.

Parece trágico que sejam os desenvolvedores, que têm uma mente técnica e geralmente conscientes dos riscos de segurança, também são o maior inconveniente ao tentar integrar as equipes de segurança ao ecossistema empresarial. Entretanto, isto é resultado da introdução tardia e rápida da segurança em ambientes empresariais – como mencionado anteriormente, mais como um complemento do que uma parte integrante.

O difícil papel de um CISO

Naturalmente, aquele que enfrenta todos esses desafios em organizações maiores é o diretor de segurança da informação (CISO, pela sua sigla em ingles). Por um lado, a liderança de segurança deve pressionar pelo ecossistema de segurança mais eficiente, por outro, eles devem enfrentar a reação de outros líderes empresariais que podem não estar satisfeitos com as limitações.

Como um exemplo muito simples de tal problema, digamos que uma organização tem muitos trabalhadores remotos que são empreiteiros e trabalham em suas próprias máquinas, não em laptops da empresa. Isto cria uma situação muito difícil onde o CISO deve, por um lado, elaborar uma estratégia de segurança que torne possível que tais empreiteiros trabalhem eficientemente e, por outro lado, manter as informações que eles acessam totalmente seguras.
Tire o chapéu para os CISO. Eles não devem cair ao caminhar na linha entre os altos cargos e outras partes interessadas, os riscos da cibersegurança, os orçamentos e os usuários infelizes.

Desvantagens devido ao conhecimento limitado

Outro fator que desempenha um papel importante na desconexão entre líderes empresariais e líderes de segurança e suas equipes é como é difícil entender a segurança cibernética para alguém que não é educado em tecnologia. Muitos líderes empresariais devem confiar em suas contrapartes de segurança que a segurança cibernética não é apenas uma tarefa única e simples.

Mais uma vez, não é surpreendente que um líder empresarial que se depara com todo o escopo de potenciais necessidades de segurança cibernética fique simplesmente perplexo e não entenda por que todo esse esforço e dinheiro são necessários para manter um programa de segurança eficiente. Eles têm dificuldade em entender por que a empresa precisaria de muitos especialistas em segurança e soluções de segurança. Por exemplo, tente explicar ao vice-presidente da diretoria porque sua organização precisa de uma solução DLP, um produto XDR, um scanner de vulnerabilidade web, um scanner de segurança de rede, um WAF, um IDS/IPS assim como pesquisadores de segurança, equipes de resposta a incidentes, líderes de inteligência de ameaças, unidades de gerenciamento de risco, especialistas em métricas de segurança cibernética – porque já não é suficiente com ativar o Microsoft Defender em todas as máquinas?

Automação e ferramentas: a melhor solução

O que ajuda os CISO e suas equipes de segurança a obter os melhores resultados é a automatização dos procedimentos, tanto quanto possível. A única vantagem óbvia é a eficiência do trabalho em tais casos – muitos elementos da postura de segurança são tratados pela ferramenta muito mais rapidamente do que se fossem feitos manualmente. Um exemplo simples seria: verificação de vulnerabilidades de software onde o teste de penetração manual através de pesquisa de segurança não poderia sequer começar a comparar em eficiência com a varredura de vulnerabilidades.

Entretanto, há outra grande vantagem de usar o maior número possível de ferramentas para ajudar a manter a melhor postura de segurança – as pessoas não ficam chateadas com ferramentas tanto quanto ficam chateadas com outras pessoas. Se, por exemplo, um profissional de segurança envia mensagens a um funcionário sobre um problema potencial de segurança que as ações do funcionário possam causar, é provável que o funcionário leve esta mensagem pessoal e emocionalmente. Por outro lado, se o mesmo funcionário recebe uma mensagem de uma ferramenta antes mesmo de tomar a ação arriscada, ele pode amaldiçoar um pouco a tecnologia, mas é pouco provável que guarde rancor contra o software.

Portanto, a melhor maneira de uma equipe de segurança lidar com segurança cibernética e, ao mesmo tempo, manter um relacionamento saudável com o resto da empresa, incluindo os líderes empresariais, é a ferramenta certa.

Clique e saiba como a MindSec e a CoSoSys pode lhe ajudar.

Por : Cristina Moldovan 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!