Antes de começar a restaurar um projeto de segurança desastroso, devemos iniciar o processo de restauração dentro de nós. Por sermos seres humanos necessitamos ter autocontrole e confiança. Nesta ocasião a resiliência é vital e devemos ter um plano bem estruturado e saber exatamente onde a empresa deseja chegar em relação ao nível de maturidade de segurança esperado a fim de proteger o modelo de negócio daquela organização.
Notório que depois de muitos eventos de vazamento de dados em grandes corporações como Equifax, Yahoo, British Airways e HSBC sinalizam que, mesmo tendo processos internos e certificações, tais como PCI-DSS, ISO 27001, SOC 1, 2 e 3, modelos de governança como COBIT e metodologias de Cybersecurity do NIST e FAIR, já têm comprovado que não são suficientes para deixar a empresa intacta a ataques. A medida que sua empresa entra no centro de visão dos invasores é necessário que o time de segurança esteja pronto para discernir em que momento requer mais atenção e agir.
Seja como o uso da combinação de novas tecnologias como Machine Learning e Inteligência Artificial (IA) na monitoração de ameaças e tendências de novas formas de ataques cada vez mais sofisticadas. Literalmente é necessário ter um time multidisciplinado trabalhando em multicamadas capaz de identificar a direção que deve andar, logo não adianta ter força e correr para um lado e não saber precisamente a direção que deve focar.
Fazer Segurança da Informação abrangendo na área de Cybersecurity é muito mais que usar soluções de Firewall, WAF, Antivírus, DLP, ITIL, SDLC, CASB, OWASP, etc. Neste contexto requer inteligência e resiliência para saber superar os momentos de dificuldades e fazer a diferença. Na hora de um vazamento de dados ou um ataque de ransomware é momento de agir e não de estacionar.
É preciso estar atento às novas tendências e novas formas de estratégias que podem lhe auxiliar a elevar melhor o nível de segurança e estar a frente ou ao mesmo lado dos invasores. Saiba que mesmo executando um bom projeto de segurança não elimina a oposição. Na medida que sua empresa cresce em market share é necessário continuar enxergando como águia e não repetindo os mesmos erros como um papagaio.
E o que precisamos fazer para estar preparados e minados para construir um bom projeto de segurança? Quais são os requisitos e premissas para lidar com esta nova geração de ataques?
Primeiramente entendo que é necessário uma visão, pois a confiança em uma visão canaliza a inspiração e coragem -> Por meio do medo é onde vem a coragem. Mesmo tendo medo e insegurança precisamos enfrentá-lo. Devemos agir como inteligentes e com sabedoria buscando a melhor forma de se fazer que deve ser feito em seu projeto de segurança e Cybersecurity.
Sozinho, mas com um plano de 100 dias -> Tenha um projeto de segurança, que seja de um plano de Cybersecurity. Entenda e esclareça junto ao conselho de diretores o devido plano de segurança alinhado como as expectativas esperadas pelo negócio. Seja persistente e visualize a alma do negócio, pois entendendo como a empresa ganha dinheiro vai lhe ajudar a estabelecer e mapear os possíveis riscos para este cenário, incluindo um mapa de ameaças, risk appetite do negócio, etc., amparado com o processo de gerenciamento de risco. Lembre-se que haverá recompensa com a sua resiliência.
Esteja atualizado com tecnologias e Cybersecurity -> Há 11 anos me certifiquei em CISSP e fiz o exame mais de uma vez e recebi críticas por alguns profissionais da área na época. Em minha leitura não vejo que a certificação seja melhor ou faz de você um melhor profissional que o outro, pois existem excelentes profissionais sem certificação e sem faculdade na área de Cybersecurity. Acredito que a certificação lhe encoraje e estimule a estudar um determinado assunto e auxilia a se manter sempre atualizado com as novas tendências de segurança. Não importa se você nunca publicou um CVE, mas o quanto você faz o que gosta.
Literalmente teremos um tempo que iremos colher os frutos que foram plantados no passado. Logo é visível reconhecer que hoje a internet está aí, profunda e rica em informações. Muitas empresas de soluções de segurança publicam white papers, pesquisas e estudos sobre o mercado de Cybersecurity e a estrada é longa repleta de informações valiosas. Em último caso, busque um parceiro confiável e se conecte a comunidade hacker e desta forma estará sempre inteirado com o mercado.
Seja um pacificador, mas promova a articulação e seja um agente de mudanças -> Identifique o tomador de decisões, busque e cave para fazer parte do conselho dos executivos. Segurança é uma responsabilidade de todos e eles precisam ser seu principal patrocinador. Um bom articulador é medido pelo resultado do legado implementado, seja em empresas anteriores ou durante sua jornada em uma empresa. Lembre-se que seu legado e experiências sejam positivas ou negativas podem influenciar a corporação e sabendo como usar as iniciativas de forma correta que combine com a natureza do negócio é possível que vitalize a alma do negócio.
Veja se as críticas são justas -> Não perca o foco com o seu projeto de segurança e se concentre com o resultado final e as oposições. Busque ajuda de outros especialistas dependendo do escopo e o que se espera no projeto. Esteja aberto a ouvir críticas e avalie e veja se são condizentes para seu projeto e carreira.
Explore o uso de novas tecnologias, como IA com Cybersecurity-> Até onde as tecnologias de segurança disruptivas podem ajudar a melhorar o nível de proteção da segurança em seu ambiente? Seremos desafiados a fazer muito com pouco recurso, e na medida que a nossa visão vai se expandindo com conhecimento, novas estratégias virão para auxiliar e melhorar.
Educar e treinar é a fórmula -> Por último, não é uma especulação, mas a experiência de grandes líderes tem afirmado em indicadores de performance que a conscientização é a chave principal para criar uma legião de embaixadores de segurança no contexto da organização. Eduque e treine o time de DevOps, invista em workshops e hackathon se necessário, fomente um comitê de segurança com os principais executivos e seja seu maior parceiro. Educar, treinar e conscientizar é um processo contínuo que requer sempre inovação, pois trata-se de uma experiência que envolve o ser humano, junte a psicologia e a boa comunicação.
Sobretudo o plano de segurança pode vingar uma vez que o projeto for reconhecido e apoiado pela alta gestão como um item essencial para a sobrevivência da empresa. Seu papel é saber em que estado a sua empresa está e até onde precisa chegar, e principalmente vai depender do quanto a empresa está disposta a investir em segurança da informação. Como o sábio diz: a expectativa que se adia deixa o coração doente, mas o anseio satisfeito renova o vigor da vida. De outra maneira, uma empresa que não se apressa em resolver seus problemas de segurança está a caminho da falência. Portanto, não deixe e não permita sua empresa ser paralisada por um evento de segurança, tenha em mente que sempre que desejarmos ser um agente de mudança haverá oposição que gerará superação, ao contrário será a estagnação.
*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP