Trazer mais segurança para o ambiente não se trata apenas de investir em tecnologia e melhorar processos, mas também de ganhar a colaboração de toda a empresa nos programas de segurança.

Existe uma grande confusão sobre quem é o responsável pelas funções de segurança e a ideia de que a equipe de segurança é a única capaz de manter os ativos seguros impede que as empresas sejam mais proativas em sua estratégia e faz com que grande parte da força de trabalho não seja inclusa nos planos de resposta a incidentes, uma falha grave que aumenta consideravelmente o tempo de solução.

Defina os responsáveis

Pouco importa se é o CIO, o CSO ou o CISO o melhor profissional para lidar com a segurança da informação. O mais importante é definir quem será responsável formalmente por responder por isso e oferecer ao escolhido todo o suporte necessário. Isso inclui definir o que é esperado dessa função, sempre relacionando a segurança ao negócio.

A empresa mostra que a segurança é um assunto sério ao nomear um CSO, por exemplo, mas nada impede que outra pessoa, que tenha mais conhecimento do negócio, tenha a palavra final.

Comunique os problemas de segurança

A equipe de segurança precisa comunicar os problemas de maneira acessível para todos os membros da empresa para ganhar colaboração nos programas de segurança.

A falta de comunicação e a falta de entendimento dos problemas fazem com que muitos, inclusive o time de executivos, pensem que as falhas relatadas não passam de “tempestade em copo d’água” feita pelos profissionais de segurança.

É preciso pensar em maneiras criativas de envolver a equipe, como testes de penetração mostrando o quanto todos estão vulneráveis ou recompensas para quem tem boa postura em relação às políticas de segurança.

Não subestime o poder das métricas

É comum encontrarmos profissionais de segurança que focam muito em compliance e usam métricas relacionadas a isso para justificar a efetividade de um programa de segurança. No entanto, isso faz com que alguns executivos considerem importante priorizar exigências de compliance em detrimento do que vai tornar a rede realmente segura.

Em vez de explicar as atividades de segurança desenvolvidas, o melhor é explicar como a estratégia está reduzindo riscos, por meio de métricas como detecção de ameaças. Toda vez que uma ameaça é detectada por um ativo de segurança, um dado que poderia causar estragos nas mãos de um concorrente ou de um criminoso é salvo, assim, é possível deduzir a importância do retorno de investimento dos programas de segurança.

Com Dark Reading