Expandindo a visão de um líder de Segurança

Seu papel nunca será o mesmo em uma organização: o relacionamento com times de tecnologia, desenvolvimento, arquitetura e business, será um terreno hostil e você precisará mergulhar fundo, sem medo, para alcançar patamares jamais explorados ou experimentados

Compartilhar:

Finalmente chegou o dia e você foi escolhido para assumir uma posição de líder de segurança, seja um CSO, CISO, Gerente de Segurança, etc.  Ao mesmo tempo que uma insegurança passa pela mente você precisa, então, ser confiante e resiliente ao desafio e responsabilidade que lhe foi atribuída. Talvez esteja se perguntando: por onde começar? Entretanto, gostaria de aprofundar alguns pontos neste artigo e, honestamente, o papel de um líder de segurança nunca será o mesmo em uma organização. Literalmente, seu relacionamento com times de tecnologia, desenvolvimento, arquitetura e business, será um terreno hostil e você precisará mergulhar fundo, sem medo, para alcançar patamares jamais explorados ou experimentados.

 

O sentimento de não se sentir confortável com o cenário de ameaças externas e novas tendências de mercado talvez seja aquele espinho na carne que caminhará contigo e terá que lidar com isso usando estratégias como a gestão de emoções e efetivamente encarar cada projeto com determinação e muita vontade de vencer que, por ventura, vai requerer muito trabalho no início para ser aceito como um líder em sua organização.

 

Evidentemente que existem diversos frameworks – uma variedade deles –, e como então escolher o mais eficaz e eficiente para o modelo de negócio em sua organização? Poxa que pergunta difícil de responder! Cada organização é diferente da outra, ainda considerando a cultura e maturidade dos usuários e da alta direção sobre o tema.  Na verdade, há muitos frameworks por aí, que não funcionam adequadamente para a nova maneira de fazer negócios. Questionários extensos e dificuldade de desmistificar os riscos do negócio, e dar visibilidade ao C-Level, de fato, são entraves que requerem muita atenção. Você precisará discernir e adaptar os frameworks para a realidade na sua organização. Em outras palavras, você acabará desenvolvendo um modelo próprio adequado a sua realidade e necessidade.

 

No último Google Cloud Summit, realizado em São Paulo, foi ressaltado pelos especialistas do Google que a grande jogada do cenário atual de tecnologia é o “dado”, este é o ativo de valor das organizações.  Data leakage está sendo e será a grande preocupação para as organizações no futuro. Recentemente tive a oportunidade de conversar com a CISO global da minha empresa, e escutei dela que não está muito preocupada com o que está dentro da empresa, mas o que está fora, ou seja, o third party é uma das grandes preocupações, considerando a dificuldade de gerir de forma adequada e o compartilhamento de dados da sua empresa com serviços terceirizados, seja em cloud ou conexões externas.

 

Em 2017, o ataque massivo do ransomware “NotPetya” impactou em 90% das operações da gigante Merck que resultou em uma perda estimada de US$ 300 milhões, no qual quase todo parque de workstations e notebooks tiveram que ser substituídos, por falta de um processo básico de segurança, que era manter o sistema operacional atualizado, um fator crucial que ainda acontece em grandes organizações.

 

Relativamente foram eventos drásticos para estas corporações, mas são com os erros que se aprende, não é?  Considerando os frameworks de segurança como a ISO 27001 e NIST SP 800-171 que abrangem domínios importantes de segurança, tais como: Controle de Acesso, Awareness, Resposta a Incidentes, Proteção de Mídia, Gestão de Configuração, Risk Assessment, etc. Obviamente, isso não é o suficiente, como falei, é preciso absorver o melhor destes frameworks, trazendo para a realidade da organização com total alinhamento com o negócio, ou seja, atividades complementares como: incluir novas estratégias de relacionamento e parcerias, coleta e revisão de todas as informações relevante do negócio, ativos, ter visibilidade do ambiente, avaliar e definir estratégias de implementação e melhorias absolutamente irão contribuir.

 

Procure ter em mente que a ideia aqui é instruir e nortear a fim de ajudar no dia a dia de segurança. Abaixo segue um overview de um plano de segurança com contribuições de líderes de grandes empresas:

 

Relacionamento com negócio

 

É uma das áreas mais críticas para o líder de segurança que deve entender e criar maneiras e caminhos para estreitar a conexão com os executivos, tornando um parceiro, mas vale lembrar que esta tarefa pode ser estressante e exaustiva.

 

– O líder em seu papel deve entender o contexto dos processos de Segurança e suas Operações em Business, Risk Management, Governança, Compliance, Privacidade e Auditoria;

 

– Deve realizar reuniões com importantes áreas, parceiros de tecnologia incluindo (Dados, Tecnologia, Serviços), Projetos e iniciativas, histórico de mudanças, oportunidades perdidas e recursos necessários;

 

– Ser um agente de mudança permitindo e pensando na segurança como inovação, novas possibilidades e estratégias de serviços;

 

Coleta e Revisão de informações

 

Neste estágio do processo você precisa estar atento para determinar o que de fato é importante para o negócio diante da quantidade inúmera de dados que serão fornecidos pelas áreas. A classificação da informação e inventários de ativos irão ajudar nesta fase.

 

– Importante levantar as políticas atuais, procedimentos, guidelines, testes de invasões e avaliações de segurança realizados;

 

– Solicitar as áreas cópias de contratos de segurança com parceiros, verificar com Procurement os contratos que irão renovar nos próximos 18 meses incluindo (Aplicações, Tecnologias e Serviços) relacionado a segurança;

 

– Levantar com RH processos relativos a segurança, educação e treinamento, background de profissionais, job descriptions, etc.

 

– Revisar os documentos coletados e validar com os peers (internos e externos)

 

– Averiguar documentações relativas a: 1) Políticas, procedimentos que precisam ser atualizados; 2) Eventos e impactos reportados de serviços; 3) Staff e team de segurança e avaliar o nível de maturidade;

 

Visibilidade técnica

 

Esta fase tende a ser mais técnica, e novamente requer que você como lider de segurança colete e tenha todas informações de múltiplas origens. Compreender a arquitetura de TI, processo de SDLC e desenvolvimento de software são cruciais.

 

– Avaliar os aspectos de network security, mapas de rede e arquitetura;

 

– Road map de segurança e redes envolvidas e como estão protegidas;

 

– Segurança das aplicações e tecnologias de segurança utilizadas e inventários destes ativos;

 

– Lista de Third parties, serviços baseados em cloud e usados por business.

 

– Projetos de segurança em andamento;

 

– Status dos projetos, expectativas, prazos, recursos e barreiras para concluir;

 

– Contexto das operações de segurança e portfólio (SOC, Incident Response, SIEM, Network Security, Rules Reviews ex: Firewall;

 

– Contexto de treinamento e capacitação necessários: ITIL, COBIT, Pent Test, Risk Management, CyberSecurity, etc;

 

– Novos serviços e upgrades requeridos, ex: atualização do Firewall que pode levar a perda do suporte;

 

– Problemas pendentes com atuais tecnologias;

 

– Treinamentos necessários para novas tecnologias;

 

Assessment

 

Esta fase é onde você deve aplicar um assessment baseado em uma metodologia/framework que irá lhe ajudar a tirar uma foto da real situação e aderência da organização com as melhores práticas;

 

– Aplicar risk assessment, pent test e auditoria. Use um critério de aderência em três níveis, por exemplo; >=85% Satisfatório, <85% Requer Melhoria e <65% Insatisfatório. Divida esta fase em duas, começe com uma avaliação alto nível e depois desça mais a fundo;

 

– Estabeleça planos de remediação para os findings, gaps, etc;

 

– Alinhe com o plano de gerenciamento de risco;

 

– Defina prioridades, requerimentos de compliance e critérios de proteção para dados sensíveis em meios de comunicação, (interno, externo, parceiros, transmissão e armazenamento);

 

– Impacto nas operações de negócios, requerimentos de segurança em contratos, governança e maturidade (COBIT e ISO) e Análise de SWOT e medir maturidade e imaturidade de controles e priorização de findings e gaps;

 

– Trabalhar com redução e mitigação de risco, serviços improvisados, entendimento dos impactos ao negócio com análise de ameaças (threat model) e definição de processos críticos irão servir para a elaboração de um BCP e DRP.

 

Definir Estratégia

 

Nesta fase final do processo você como um líder de segurança tipicamente ainda novo com poucos meses de vida na empresa, deverá se encontrar com diversos níveis considerando que haverá muitos gerentes e diretores, e acima de tudo entender a cultura da nova organização. O desafio aqui é compreender todo o contexto de segurança e finalmente assim que completar todos os assessments deverá desenhar e implementar um risk baseline para sua empresa, e você deverá ter uma lista priorizada de preocupações que agora vai ser tornar uma pedra angular para o seu programa de segurança.

 

– Relatório executivos incluindo (retrato da situação, exposição de risco, valor ao negócio, esforços para remediação e suporte de operações;

 

– Estabelecer um prazo (road map) e resultados que poderão ser atingidos;

 

– Novas responsabilidades e suporte do senior management (alta direção);

 

– Monitoração continua de projetos, iniciativas, gestão de risco e métricas para medir a eficiência do programa de segurança;

 

– Cyber as a Service inclui os valores da estratégia de gestão de risco, valores do negócios e operações, compliance e certificação, liderança do programa de segurança (mentoring do time de segurança, parceria com pessoas chaves das áreas de negócios e contínua conscientização da segurança como serviço.

 

Para concluir, como líder você deve considerar em seu plano um cronograma (timeline) que permite criar um orçamento e requisitar recursos com base nas descobertas durante a avaliação. Como líder, faz parte do seu trabalho o entendimento total da visão riscos e informar aos executivos sobre quaisquer alterações e exposição do risco conhecido e explicar o valor para o negócio em relação a remediação sob qualquer risco recém identificado e preocupações. Essa discussão com a equipe de executivos irá fornecer insights sobre o quanto o risco que a organização está disposta em aceitar e quanto eles podem querer remediar ou transferir para um terceiro.

 

Por fim, aqui são definidas as métricas que serão usadas para medir a eficácia do programa. Este processo de monitoração do risco precisa ser contínuo, a fim de usar estas métricas para medir o quanto o programa de segurança, controles e tecnologias, e essas estão se encontrando com as exigências e estão de acordo, e por fim, nesta reta final é necessário sempre doutrinar a organização sobre a importância da cibersegurança e compartilhar sua visão sobre como você deseja implementar a cibersegurança como um serviço da sua organização.

 

Não há nenhum segredo ou receita para executar um bom programa de segurança, por hora, ao longo destes anos tenho visto muitos líderes usando seu mindset sobre os negócios e segurança para definir estratégias e prioridades que possa ajudá-los em seu cargo. Como mencionei no início deste artigo o conhecimento em segurança e a capacidade de traduzir para a realidade de sua empresa pode tornar o seu programa um sucesso. Boa sorte!

 

* Rangel Rodrigues é especialista em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Colunas & Blogs

Minha organização foi invadida. E agora?

Diante de um cenário em que um ataque cibernético sem precedentes possa atingir a qualquer momento os players de mercado,...
Security Report | Colunas & Blogs

Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs

Diversos estudos mercadológicos a respeito das atividades de Segurança e sua relação com as corporações demonstram que a cultura empresarial...
Security Report | Colunas & Blogs

A importância da inclusão da disciplina de segurança da informação na formação escolar

Diante de uma realidade cada vez mais conectada, em que as crianças e jovens tem contato desde os primeiros anos...
Security Report | Colunas & Blogs

Estratégias essenciais para a Segurança de endpoints

A importância da integridade dos endpoints para a continuidade dos negócios torna a defesa desses elementos parte crítica das atividades...