Um dos grandes paradigmas da carreira de um líder de segurança é saber como iniciar seu papel em uma nova jornada e discernir quais são as ações a serem feitas para tornar uma empresa mais segura garantindo um pleno alinhamento como as necessidades de negócio. Porém, muitos líderes cometem erros invisíveis que acabam condenando seu projeto logo na primeira fase e não conseguem entender porque tal plano foi um desastre.
A primeira coisa que é importante entender como um líder de segurança, seja um CSO ou CISO, é reconhecer que somos limitados como “seres humanos” e, às vezes, um projeto sem sucesso é capaz de tornar você um grande líder.
Todos que já passaram por desastres aprenderam a desenvolver uma característica fundamental, a “resiliência”. É hora de fazer perguntas perigosas. “Por que fui contratado para esta posição? Qual o propósito desta função? O que o senior management espera do meu trabalho? Como devo proceder para alcançar os objetivos de segurança? Como e quais são as pessoas que tenho que conhecer para definir um projeto de sucesso? Por onde começar? Quais são as prioridades e processos de negócios críticos?”. Estas e outras perguntas precisam ser respondidas e se você não for capaz de discernir estas informações você pode estar caminhando para um precipício. Ainda mais neste mundo onde a tecnologia muda de forma tão rápida.
Pense, você como um líder de segurança deve entender sobre novas tecnologias, ameaças, conceitos de IoT, Big Data, Cloud, Ransomware, Machine Learning, etc. São temas de sobrevivência. Não adianta reclamar ou se desculpar que não tem tempo; o segredo é saber gerir o seu tempo. Então, eis o desafios: aprender sobre novas tendências, novas ameaças, viver o dia a dia do negócio que você pretende proteger, conhecer e criar um vínculo de confiança com seus parceiros e executivos da alta direção, etc.
Por duas vezes em minha carreira tive o desafio de exercer o papel de um CSO e foi com os erros que aprendi a desenvolver e criar um plano infalível (ou seria “um plano perfeito”) e acima de tudo alinhado como os objetivos esperados pelo negócio. Portanto, gostaria de compartilhar algumas das estratégia e ações emergenciais que todo líder de segurança deveria ter anotado em sua cardeneta como a meta de sobrevivência nos primeiros 100 dias.
· Realizar um gap analysis na esfera de pessoas, identificar os processos críticos, as tecnologias e continuidade das operações na organização a fim de criar um retrato da condição atual e nível de maturidade de segurança no ambiente. Utilize algum framework que suporte este objetivo tais como: COBIT, ISO 27001, NIST, etc. Se precisar de um suporte, recorra a uma consultoria especializada.
· Conhecer o negócio. A meta é procurar entender como a organização ganha dinheiro. Se você trabalha para um banco de investimento, prepare-se para conhecer de perto como o home broker e a mesa de operações funcionam. Entenda como o usuário final espera sobre a segurança do serviço e enxergue as suas dificuldades da perspectiva delas. Ex: Internet Banking ou Mobile App.
· Estabeleça um plano de vínculo com seus parceiros. Crie uma relação de confiança com as áreas de tecnologia, desenvolvimento, facilities, segurança física e patrimonial, negócios, comunicação e recursos humanos. Demonstre que você está lá para ajudá-los e seja um parceiro eterno.
· Conheça seu time de segurança, quais são as competências e skills em segurança da informação e cyber security, e desenvolva um plano continuo de desenvolvimento. Em outras palavras: não seja apenas inteligente, mas um sábio criando novos pensadores na área. Pense como um hacker!
· Utilize o resultado do Gaps Analysis e discuta os gaps, melhorias e desafios com seus executivos e defina como tornar a empresa melhor e demonstre que a segurança da informação é uma responsabilidade de todos começando pela alta direção (top down).
· Defina um plano de gerenciamento de risco e alinhe com o senior management. Defenda os recursos e investimentos necessários que serão precisos para estabelecer um bom plano.
· Seja uma psicólogo e entenda como a mente humana funciona, assim será mais fácil definir um projeto de conscientização de segurança da informação para seus colaboradores. Convide especialistas externos para falar sobre um determinado assunto (phishing, ransomware, social networking, etc). Mesmo com pouco budget, procure aproveitar melhor as oportunidades. Se você trabalha para uma multinacional e suporta outros países, considere criar um contato local como o security officer a fim de ajudar a realizar o programa.
· Defina um modelo de gestão de segurança da informação alinhado como os objetivos do negócio baseado no resultado do assessment que foi feito. Definição de responsabilidades e autonomia da área são cruciais. Considere os indicadores de incidentes de segurança e fraude.
· Tenha um plano de ação com metas de curto e médio prazos e comece a trabalhar apresentando os resultados atingidos ao senior management, mas saiba lidar com a resistência e mudança de cultura.
· Crie um Comitê de Segurança da Informação e faça uma reunião destas mensalmente. Convide todos os representantes de cada área de negócio e utilize esta oportunidade para criar um vínculo de amizade, apoio e parceria. O comitê é uma ferramenta-chave para buscar novos patrocinadores tornando seu projeto de segurança um sucesso.
Considerando fracassos e vitórias espero que estas dicas ajudem a definir um norte com objetivo de aplicar um plano eficiente, mas lembre-se que tem muitas coisas pela frente. Estabelecer um BCP e DRP para as operações críticas, uma política de segurança, compliance com PCI, Sox, GDPR e investimentos em soluções robustas irão ajudar a tornar o ambiente mais seguro.
Não esqueça que a resiliência nos momentos difíceis é a chave para gerir as suas emoções diante das tempestades, mas grave em sua mente que deserto não foi feito para ficar e sim para passar. Monte o plano, busque conselheiros, critique e duvide dos medos. Porém determine um alvo para seu projeto “Segurança Máxima”.
*Rangel Rodrigues, especialista em Segurança da Informação, CISSP e pós-graduado em Redes e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP. Atuou como Information Security Officer em empresas nacionais e internacionais de grande porte.