5 razões pelas quais suas pessoas importam quando o assunto é cibersegurança

Você acabou de assistir a um filme amplamente aclamado, que atendeu a todas as críticas de forma positiva. As luzes acenderam e você começa a sair do cinema. No entanto, é provável que você não esteja por perto para assistir os créditos subirem.

Ou seja, possivelmente não prestará atenção às centenas de especialistas que trabalharam nos bastidores para garantir a qualidade de tudo, desde o figurino e iluminação até fotografia e operações de negócios. Isso é compreensível e, no entanto, sem esses especialistas, o filme indicado ao Oscar poderia nunca ter chego às grandes telas.

A engenharia de segurança é muito parecida com isso. Sem uma engenharia de classe mundial, todos os nobres objetivos para alcançar uma sólida defesa das operações de negócios e implantar com segurança novos produtos e serviços, cairiam de forma catastrófica. A Engenharia de Segurança é a equipe SWAT digital da organização, que geralmente entra logo depois que uma nova ideia de negócio é concebida ou a necessidade de uma melhor higienização da segurança cibernética é identificada.

Os engenheiros de segurança não têm as mesmas responsabilidades de alto nível de um CISO; eles não se encontram regularmente com membros do conselho ou com o CEO. Mas, se uma iniciativa de segurança cibernética precisar ser planejada, implantada, monitorada e gerenciada, ela terá uma grande presença nas unidades de negócios. E, ao fazê-la, elas terão contato extensivo com os executivos da diretoria executiva e, em alguns casos, com os membros do conselho.

Como a Engenharia de Segurança está inserida na organização do CISO, é compreensível que os líderes de negócios talvez não tenham um profundo entendimento de seu papel e benefício para a organização. Então, deixe-me compartilhar com você cinco maneiras pelas quais sua organização de Engenharia de Segurança suporta uma empresa mais segura.

1. Eles são responsáveis ​​por acertar os requisitos. Na segurança cibernética, as iniciativas estratégicas devem ser apoiadas por um plano sólido e implementável. E isso começa com a compreensão, documentação e design de requisitos em um formato de solução. O CEO e o CISO terão as discussões iniciais críticas, mas se concentrarão em objetivos gerais, não no plano de jogo necessário para garantir que a nova iniciativa de IoT possa ser implementada sem comprometer as informações de identificação pessoal dos clientes. É por isso que os engenheiros de segurança precisam entrar em discussões com os acionistas das empresas o mais rápido possível, a fim de definir os requisitos de um ponto de vista técnico e, principalmente, de operações de negócios. Para fazer isso, eles fazem testes meticulosos e completos de suposições e opções de soluções, os quais exigem comunicação e colaboração constante com membros da equipe de negócios e especialistas no assunto.
2. Eles entendem, articulam e promovem uma cultura de segurança cibernética. Se os engenheiros de segurança não conhecerem, apoiarem e moldarem a cultura de segurança cibernética de sua organização, eles não saberão quais soluções serão mais facilmente adotadas pelas unidades de negócios, quais serão ignoradas e quais serão ativamente combatidas. Feita habilmente, a engenharia de segurança promove uma cultura de segurança cibernética que está em sincronia com os principais valores e comportamentos da organização. Por estarem intimamente envolvidos como embaixadores de uma cultura de cibersegurança forte e apropriada, eles são apaixonados por ajudar os usuários corporativos a adotarem as melhores práticas que facilitarão seus trabalhos e lhes darão mais confiança, em vez de impedir a inovação nos negócios com processos de segurança pesados.
3. Eles apreciam que a tecnologia é uma ferramenta, não uma panaceia. Embora os engenheiros de segurança sejam, por mentalidade e treinamento, profissionais altamente técnicos, eles também são pragmáticos sobre as limitações práticas da tecnologia de segurança cibernética. Depois que uma solução é implementada, as equipes de engenharia de segurança monitoram sua atividade para entender como melhorá-la ou como consertar algo que inesperadamente sai dos trilhos. Em vez de estarem obstinadamente comprometidos em justificar premissas tecnológicas anteriores, eles estão sempre atentos para aconselhar os líderes e as equipes de governança / risco / conformidade (GRC) sobre novas políticas que devem ser implementadas para remediar o risco, particularmente como o ritmo já acelerado da tecnologia.
4. Eles ameaçam modelar a solução, não apenas o problema. Todos os bons engenheiros de segurança fazem modelagem de ameaças em problemas, mas as grandes equipes dão um passo além e, na verdade, modelam a solução em termos de ameaças. Essa abordagem rigorosa ajuda a identificar a existência e a origem de novas ameaças que podem afetar as operações de negócios. Eles até trabalham com “equipes vermelhas” (pense neles como “hackers éticos”) para alavancar sua mentalidade de hacker em busca de abordagens inovadoras para a solução de problemas. À medida que os líderes de negócios procuram apresentar soluções tecnológicas mais avançadas em termos de mobilidade, IoT, nuvem e inteligência artificial, esse tipo de atitude pode ser fundamental para garantir bons resultados de segurança cibernética.

5. Eles treinam suas equipes operacionais. Mesmo depois de todo o planejamento, desenvolvimento, implantação e avaliação de resultados, a engenharia de segurança permanece no trabalho. Um de seus objetivos mais importantes é operacionalizar e monitorar as atividades do sistema, levando a uma entrega e treinamento contínuo das equipes de operações nas unidades de TI e de negócios.

No final das contas, a Engenharia de Segurança é uma parte vital e cada vez mais integrada do casamento entre o lado comercial da organização e a equipe de cibersegurança e deve ser considerada e avaliada como tal pela alta administração. Na verdade, não é exagero dizer que você não pode ser realmente ciberseguro sem uma excelente equipe de engenharia de segurança (e com bons recursos).

À medida em que o CEO, CISO e os membros do conselho colaboram cada vez mais para desenvolverem novas ideias de negócios seguras desde o início, a equipe de Engenharia de Segurança provavelmente estará na maioria, se não em todas, as reuniões de planejamento e atualização com líderes empresariais. Sem uma equipe de engenharia de segurança dedicada e criativa, os resultados positivos dos negócios serão mais difíceis de serem encontrados.

Sendo assim, tenha isso em mente a próxima vez em que você ver alguém subir ao palco do próximo Oscar.

*Ronald Dodge, é diretor Sênior de Engenharia de Segurança da Palo Alto Networks