OPINIÃO

Segurança cibernética: ficar visível é bom e faz bem ao negócio

Por Neil Thacker*
29/04/2019 ... Convergência Digital

O modelo tradicional de segurança da informação deveria ser abandonado. A maioria dos CISOs busca uma abordagem que se torne invisível e não seja percebida pelo usuário final para não prejudicar a rotina de trabalho ou dificultar os objetivos dos negócios. Embora a opção de evitar que os controles de segurança atrapalhem a produtividade seja vista como um mérito, isso não significa que a segurança deva, de fato, ser invisível.

Para simplificar a ideia, podemos fazer uma analogia utilizando como exemplo a mesada que muitos pais dão aos seus filhos. Normalmente, apesar de ser um certo desperdício, o objetivo deste hábito é a educação financeira. Ainda assim, as crianças não têm maturidade suficiente para lidar com dinheiro e acabam “investindo” o ganho em coisas supérfluas, seguros de que receberão uma nova quantia no próximo mês, sem  aprender ou amadurecer alguma ideia de investimento. E é justamente por isso que podemos comparar esse tipo de situação com as táticas de segurança de uma empresa.

Quando bloqueamos e ocultamos cada uma das ameaças que surgem diariamente em uma empresa, não só projetamos uma falsa sensação de segurança para os funcionários – que constroem uma ideia de que a empresa não é foco de ataques – mas, ao longo do tempo, também cultivamos uma equipe que não tem capacidade de identificar riscos, e não vê a necessidade de regular o próprio comportamento dentro da rede corporativa para minimizar riscos.

Ao entregar a mesada aos filhos, os pais criam a consciência das habilidades de gerenciamento dos recursos financeiros, mas também levam  a sensação  que  eles estão  dentro de um ambiente seguro, um paradoxo que no entantoque, no entanto, traz a esperança de despertar uma compreensão básica do risco financeiro.
Há muitas maneiras de imitar essa abordagem na empresa e, a partir da conscientização e por meio da ação, criar um entendimento mais amplo das ameaças e da responsabilidade do funcionário. Veja algumas abaixo:

1) Compartilhar perfis de risco

É cada vez mais comum que as equipes de segurança corporativa mantenham perfis de risco por departamento e até mesmo por funcionário. Quem tem acesso remoto aos dados confidenciais? Quem precisa de acesso sem filtro a sites de compartilhamento social? Quem precisa de intervenção de TI manual ou automática? Para a maioria das empresas, esses perfis são restritos aos executivos de segurança e esse não é o melhor caminho. Afinal, se os usuários não têm ideia de que um determinado comportamento gera risco, como podemos esperar que melhorem? Compartilhar um perfil de risco ou com base em decisões ruins comuns que introduziram determinado risco, é uma forma efetiva de educar a empresa e tornar o trabalho de conscientização de segurança mais tangível e relevante.

2) Captura e Liberação

Existe uma estratégia mais agressiva e efetiva, que envolve a permissão de algumas tentativas de phishing na caixa de entrada dos funcionários. Pode parecer insano, mas, apesar de não bloquear o e-mail de origem, não é necessário negligenciar completamente as outras ferramentas que estão à disposição para remover a ameaça real. Nesse caso, o caminho seria permitir a entrada de alguns títulos que captam ameaças e bloquear somente o link ou anexo, com uma mensagem pop-up para o usuário. É um processo educacional que, ao longo do tempo, ajuda a aprimorar a compreensão do papel do funcionário para que adote um comportamento mais consciente. Além disso, dessa forma, aos poucos começam a conhecer os tipos de assunto no e-mail que contêm malwares, e percebem que o risco existe e que toda empresa tem potencial para se tornar alvo de agentes maliciosos.

3) Captura do dia

É bem comum que dentro de uma empresa, independente do porte, exista ao menos um indivíduo que alerte sobre ameaças e tentativas de ataque com certa regularidade. Na verdade, na maioria dos casos a própria equipe de segurança já detectou algo antes desse aviso, mas ainda assim é extremamente importante valorizar os esforços dessas pessoas e mostrar ao resto da equipe a importância desse tipo de sinalização, para mostrar que cada usuário tem um papel importante. Além disso, eles também precisam saber que existe um nível de responsabilidade pessoal que transforma todo o processo de vigilância de uma organização em uma dança, que pode se tornar um belo espetáculo se todos estiverem em sintonia.

Os executivos de Segurança da Informação precisam compartilhar informações de inteligência de ciberameaças com o resto da empresa, para tornar a informação acessível àqueles que carecem de conhecimento técnico. E, por fim, existe um equilíbrio a ser alcançado entre garantir que as ferramentas e políticas de segurança não restrinjam as atividades essenciais e torná-las visíveis o suficiente para moldar um time com comportamento cada vez mais consciente.

(*) Neil Thacker é Chief Information Security Officer (CISO) para EMEA na Netskope


Carreira
SAP Labs abre 17 vagas para especialistas em dados

Vagas são para o Data Hub, responsávvel pelo desenvolvimento de soluções massivas de big data executáveis em diversos ambientes de nuvem. Há também vagas para 10 estagiários. o SAP Labs fica em São Leopoldo, no Rio Grande do Sul.



  • Copyright © 2005-2019 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G