A cultura de cibersegurança ajuda a fundir a segurança cibernética e os negócios. Uma nova pesquisa do Enterprise Strategy Group da TechTarget e da Information Systems Security Association (ISSA) coletou diversas sugestões de profissionais de cibersegurança para ajudar a impulsionar essa mudança em cinco áreas principais.
A European Union Agency for Network and Information Security define a cultura da cibersegurança como “o conhecimento, crenças, percepções, atitudes, suposições, normas e valores das pessoas em relação à segurança cibernética e como eles se manifestam no comportamento das pessoas com as tecnologias da informação. A cultura da cibersegurança abrange tópicos familiares, incluindo a conscientização sobre segurança cibernética e estruturas de segurança da informação, mas é mais amplo tanto em escopo quanto em aplicação, preocupando-se em tornar as considerações de segurança da informação uma parte integrante do trabalho, dos hábitos e da conduta de um funcionário, incorporando-as em suas ações diárias”.
Quando as organizações adotam esta mudança cultural, a cibersegurança passa a ser tarefa de todos – desenvolvedores, gestores de linha de negócios, trabalhadores do conhecimento, executivos – todos. Em outras palavras, todos se comportam da melhor maneira possível, permanecendo vigilantes a qualquer sinal de problema. Alternativamente, as organizações que minimizam a cultura de cibersegurança delegam a proteção digital ao CISO e a uma pequena equipe de tecnólogos. E a negligência dos funcionários leva ao aumento do risco empresarial, violações de conformidade e ataques cibernéticos.
Markswell Coelho, coordenador da IBSEC – Instituto Brasileiro de Cibersegurança, afirma: “a maioria dos CISOs e gestores de negócios com quem falo reconhecem estas questões e estão a empenhar esforços para melhorar a cultura de cibersegurança e alinhar melhor a segurança cibernética com o negócio. Dito isto, você não pode simplesmente colocar cartazes, contratar palestrantes motivacionais ou estalar os dedos para impulsionar essa mudança”.
Como construir uma cultura orientada para a cibersegurança
O que pode ser feito? O Enterprise Strategy Group e a ISSA perguntaram recentemente a 301 profissionais de cibersegurança e membros da ISSA na pesquisa “The Life and Times of Cybersecurity Professionals v6”. Os entrevistados sugeriram cinco áreas para melhoria.
Primeiramente incluir a cibersegurança desde o início em todos os planos de negócios futuros. Esta é a derradeira abordagem de mudança – para garantir que o risco cibernético seja avaliado e abordado à medida que as organizações ponderam novas iniciativas empresariais. Pegando como exemplo a transformação digital, no maior uso de tecnologia operacional e dispositivos IoT, as equipes de segurança devem ser chamadas a revisar os processos de negócios planejados para entender quem consumirá os novos aplicativos, onde residirão, que tipos de dispositivos serão usados e quais dados estão envolvidos. Armados com esse conhecimento, eles podem criar modelos de ameaças precisos, identificar e mitigar riscos, sugerir controles e descobrir como monitorar atividades suspeitas.
Outro ponto salientado pelos entrevistados é a necessidade de tornar os gerentes mais responsáveis pelo desempenho da segurança. Os gestores de linha de negócios geralmente são avaliados pelo desempenho geral das suas unidades de negócios, mas os entrevistados sugeriram que não faria mal nenhum fornecer alguns incentivos à cibersegurança. Eles dão o exemplo de as unidades de negócio que têm melhor desempenho em áreas como auditorias de segurança, testes de penetração e cadência e eficácia de patches serem recompensadas em conformidade.
Os profissionais de segurança também falaram que detestam o típico treinamento de conscientização de segurança feito na maioria das empresas e que é realizado exclusivamente para fins de conformidade ou governança. Em vez deste método ineficaz, eles recomendam frequentemente formação mais interativa, como phishing sintético ou formação a pedido baseada na monitorização do comportamento do utilizador. O treinamento em segurança deve ser contínuo e não baseado em um exercício anual de verificação on-line. O que também tem relação com a quarta área a ser melhorada: O ênfase nas melhores práticas de segurança em vez da conformidade regulatória. As regulamentações industriais e governamentais estabelecem uma base sólida de cibersegurança, mas, muitas organizações ainda pensam que, se passarem nas auditorias de conformidade, terão feito tudo o que era necessário para a segurança cibernética. Em vez de apenas conformidade, é sugerido que os CISOs enfatizem modelos como threat-informed defense e forte alinhamento do programa com a estrutura Mitre ATT&CK.
E por último os entrevistados sugeriram que seja analisada e compensada a organização com base em métricas de cibersegurança. Como a segurança cibernética envolve melhoria contínua, pode ser útil fornecer um incentivo organizacional baseado no desempenho de diversas métricas de cibersegurança, como segurança de senhas, taxas de cliques em e-mails, relatórios de e-mails de phishing e outros tipos de comportamentos seguros.
Mais informações: IBSEC
