Os 7 elementos da cultura de negócios de segurança cibernética
Um "firewall humano" eficaz pode prevenir ou mitigar muitas das ameaças que as empresas enfrentam hoje. Adote esses sete elementos de uma cultura de segurança cibernética para se defender contra riscos.
Líderes de negócios muitas vezes pensam na cibersegurança em termos de tecnologia e de risco, investindo muito em tecnologia, mas passam por cima completamente sobre o lado humano, que na realidade é o principal risco de cibersegurança para muitas organizações. Relegar as medidas de segurança cibernética à TI deixa passar um elemento crucial, necessário para proteger as organizações da tempestade de ameaças digitais que cresce a cada dia: a cultura.
Uma cultura de cibersegurança é crucial para a mitigação de ameaças cibernéticas, tanto para realizar técnicas de mitigação de curto prazo quanto para fazer investimentos de longo prazo e mudanças estratégicas.
O que é uma cultura de segurança?
A cultura sempre tem a ver com mentalidade. A cultura de segurança se trata de quão forte, responsável e resistente toda a organização é contra ameaças cibernéticas de um ponto de vista humano. Trata-se de incutir e capacitar um "firewall humano " contra ataques digitais.
Elementos de uma cultura de segurança
A cultura de cibersegurança é aquela que abarca toda a organização, por meio de equipamentos, processos, métricas e ferramentas. A incorporação dos seguintes atributos e melhores práticas em toda uma organização é um dos maiores desafios que enfrentam os líderes de segurança, mas fazê-lo nunca foi tão essencial.
- Liderança
O apoio entre as lideranças é fundamental para uma cultura de segurança. Primeiro, o investimento financeiro e comportamental começa entre os gerentes seniores. O CISO pode estabelecer os termos e detalhes, mas os executivos e a alta direção de todas as equipes são responsáveis por estabelecer um precedente e definir o contexto estratégico do que é seguro em seus departamentos. Os líderes também têm um interesse pessoal aqui, já que eles são alvos comuns para os atacantes.
- Links multifuncionais
Dada a diversidade de ameaças, endpoints e vulnerabilidades em cada empresa, parte da manutenção de uma cultura de segurança inclui um grupo de trabalho multidisciplinar. Este grupo deve ser dedicado ao seguinte:
- identificar riscos e oportunidades;
- unir as prioridades de segurança entre diferentes grupos, como tecnologia de TI / operacional ou vendas e suporte;
- analisar áreas de redundância em ferramentas e produtos de fornecedores; e
- desenvolver salvaguardas específicas para implementar nas funções, equipamentos e produtos da empresa.
Um grupo interfuncional também é fundamental para identificar as barreiras culturais para uma mentalidade segura e melhores práticas. Por exemplo, a United Airlines desenvolveu uma equipe de conscientização e educação dedicada a incorporar a segurança no DNA da empresa em todas as suas operações. Os "embaixadores cibernéticos" e "amigos da segurança " foram escolhidos entre as diferentes equipes para monitorar os problemas de segurança em seus respectivos departamentos. Ter as perspectivas tanto dos especialistas na matéria quanto dos associados em geral, tais como a United Airlines, é fundamental para garantir que toda a organização seja fortalecida.
- Educação
Criar consciência dentro das organizações é metade da batalha para mitigar as ameaças cibernéticas, especialmente porque a engenharia social e o erro humano representam a maioria das penetrações. As equipes de segurança e de TI devem elaborar planos de estudo de educação que vão além dos PowerPoints, dicas sobre senhas seguras e exames anuais de aprovados e reprovados. Desenvolva o contexto para os funcionários, sendo transparente sobre os riscos, implicações e efeitos em cascata de má higiene de segurança. Ilustre paisagens de ameaças não apenas em proprietários ativos, mas também em fornecedores externos e ferramentas de trabalho remotas. O treinamento, que deve ser contínuo e fácil de entender, deve incluir o seguinte:
- Exemplos de vida real, atualizados para a época;
- procedimentos: por exemplo, como detectar comportamento suspeito, relatar um problema e conter ameaças;
- Mecanismos de realimentação para melhorar a cultura em torno da segurança, os processos e ferramentas; e
- oportunidades para o desenvolvimento de habilidades e como tornar-se um "embaixador cibernético."
- Relevância dos funcionários
Embora a necessidade seja universal, criar consciência e educar os funcionários não é uma solução para todos. É fundamental que os funcionários entendam suas responsabilidades específicas e como suas funções e comportamentos podem ajudar ou atrapalhar a estrutura de segurança geral de uma organização. Isto inclui o desenvolvimento de procedimentos de segurança cibernética que sejam integrados nas rotinas e procedimentos do trabalho diário dos funcionários, em lugar de solicitar mudanças de comportamento complicadas ou radicais. Considere o uso de ferramentas de aprendizagem e estilos de treinamento para personalizar o conteúdo. Cenários integrados que ressoem, como as etapas a seguir antes de publicar o código para os desenvolvedores; resoluções de questões relevantes para as equipes de suporte; e áreas que superam os padrões de vendas do setor.
- Atitudes e comportamentos
A cultura de uma organização se trata de lidar com como as pessoas se sentem, o que inclui crenças, suposições e compromisso geral com a empresa e seus valores percebidos. Parte disso é sobre fazer com que os funcionários se sintam confortáveis e não estúpidos se cometem um erro e confiantes, não em pânico, quando ocorre um incidente. Em poucas palavras, os funcionários devem se sentir positivos em relação a contribuir para a resiliência da cibersegurança da empresa.
A Finning International, distribuidora de máquinas pesadas, contratou psicólogos para entender melhor como as pessoas aprendem sobre segurança de maneiras identificáveis. A empresa ofereceu várias modalidades de treinamento para apoiar diferentes estilos de aprendizagem, por exemplo, pelo uso de gamificação, vídeos curtos e discussões cara a cara. A equipa de comunicação da empresa também adaptou conteúdos para colaboradores de diferentes geografias e idiomas.
- Ecossistema
A parte que muitas vezes é negligenciada em uma cultura de segurança cibernética inclui trabalhar fora das quatro paredes de uma empresa. Ao contrário do que parece intuitivo, as ameaças digitais exigem um abraço cultural de abertura. Por exemplo, compartilhar análises de ameaças entre as partes interessadas competitivas, utilizar códigos ou modelos de fonte aberta e incorporar auditorias e métricas de responsabilidade nas aquisições e parcerias podem ajudar a melhorar a segurança.
A Rockwell Automation tem um grupo dedicado à troca de informações sobre questões de segurança que inclui clientes estratégicos em vários setores para incorporar perspectivas de fora para dentro. Isto não é apenas valioso para a própria cultura de segurança na empresa, mas também é uma linha direta para a inovação de produtos em nome da segurança.
- Métricas
As métricas são frequentemente associadas com estatísticas sólidas em segurança, mas também desempenham um papel importante na cultura mais abrangente da empresa. As métricas são essenciais para monitorar a eficácia e o valor geral do treinamento. A introdução de gamificação, concursos ou testes rápidos no treinamento de segurança e pós-treinamento, por exemplo, é útil para monitorar quais módulos são relevantes e que habilidades e comportamentos concretos foram absorvidos. Eles são também importantes para articular a proposta de valor para a liderança no tocante ao investimento contínuo, bem como para os empregados estabelecerem o progresso que fizeram. Por exemplo, as equipes de segurança e de TI podem tentar vincular métricas a melhoras na produtividade, incentivos para funcionários, oportunidades de aprender novas habilidades e assim por diante.
Uma postura de segurança sólida requer uma base sólida
Uma pesquisa recente da Forbes Insights com mais de 200 CISO descobriu que as organizações com uma abordagem isolada para segurança experimentaram mais efeitos negativos do que aquelas com abordagens estratégicas para toda a empresa. Os seguintes custos de focar apenas em táticas posteriores são significativos e estão crescendo:
- Custos de não cumprimento (perda de receita, tempo de inatividade, reputação);
- Afluência massiva de incidentes nos últimos anos;
- táticas sofisticadas, impulsionadas por tecnologias emergentes;
- grande falta de talento em segurança;
- líderes como alvos; e
- funcionários de primeira linha como alvos.
Com base nos sete elementos que tratamos aqui, uma cultura de segurança no local de trabalho é a linha de defesa ascendente para uma gama cada vez maior de ataques descendentes.