Por que a segurança cibernética não pode simplesmente dizer “não”

Views: 304
0 0
Read Time:5 Minute, 46 Second

Houve um tempo, não muito tempo atrás, em que havia apenas tantas maneiras de realizar uma tarefa de tecnologia da informação. Se você estava construindo um site, configurando um novo computador ou instalando um software, suas opções eram limitadas — se houvesse alguma opção. Esse tempo acabou.

Agora, qualquer tipo de produto ou serviço pode ser adquirido facilmente e com o mínimo de esforço, e geralmente por um preço muito baixo ou não. Quando as circunstâncias mudam, os especialistas devem se adaptar ou ver seus conhecimentos se tornarem irrelevantes ou até mesmo prejudiciais. Os departamentos de segurança da informação, e os consultores que os aconselham, precisam entender que apenas dizer “não” deve estar fora de questão.

Dizer “não” leva a soluções temporárias permanentes

Se você disser “não” a um funcionário que pede para transferir um arquivo grande através de uma solução alternativa porque o e-mail não pode ser usado, a transferência quase certamente ainda acontecerá, e isso acontecerá através de um serviço gratuito de nuvem fora do controle da empresa. Agora, os dados internos da empresa serão potencialmente mantidos para sempre em um serviço de nuvem em algum lugar do mundo — geralmente nos Estados Unidos — onde podem ser potencialmente acessados ou comprometidos por terceiros. Além disso, ninguém terá qualquer indicação de quantos dados foram expostos, por quanto tempo e por quem. E o que se sabia vai corroer lentamente, à medida que os funcionários circulam dentro e fora de vários departamentos.

Como diz o ditado: nada é tão permanente quanto uma solução temporária. Isso é igualmente verdadeiro para ações tomadas pelos funcionários em seu próprio nome, antes e depois de uma violação.

Enquanto o departamento de segurança recusa um pedido com um simples “não” banhado a ouro, o problema não vai desaparecer porque a necessidade do negócio não vai desaparecer. Pelo contrário, esse pequeno problema pode ser a brasa que vai desencadear seu próximo incidente de segurança. Em seguida, os respondentes do incidente receberão silêncios estranhos em vez de respostas às suas perguntas, impedindo uma investigação rápida e completa.

As empresas precisam de médicos, não guardas.

Então, ao invés de tentar nos comportarmos como guardas do palácio tentando impor a política de segurança da organização, precisamos nos comportar mais como médicos.

Precisamos ser melhores em explicar por que algo não é possível, que tipo de risco pode implicar a curto e longo prazo e, o mais importante, perguntar por que a pergunta foi feita. Essa é a melhor maneira de descobrir qual seria a causa principal: fazendo perguntas atenciosas em troca da pergunta original e tomando notas.

Não faltam ideias míopes quando se trata de tomada de decisões. Mas ignorar as razões pelas quais certos pedidos foram feitos pode ter consequências reais e potencialmente perigosas.

Então, como vamos além do “não”?

Seja acessível

Perguntas são boas. E a maioria das perguntas vem de um bom lugar, tentando alcançar algo alinhado com a missão da empresa. Quase ninguém sai da cama de manhã tentando encontrar novas maneiras de fazer seu próprio trabalho ou departamento miserável tentando sabotá-lo ativamente. A maioria das ideias vem de um desafio ou observação legítimo.

Esteja ciente de que nem todos sabem sobre as ameaças e o impacto potencial de tomar certas decisões que podem abrir a empresa para atacar ou tornar qualquer violação bem sucedida mais grave e cara.

Escutar

Ouça, em vez de esperar a conversa acabar, acenando com a cabeça para fora de algum tipo de cortesia do escritório.

Realmente ouça, porque as empresas estão longe de ser perfeitas, e a documentação raramente é correta ou completa. O conhecimento concreto sobre como as coisas funcionam vive com seus funcionários. Trate-os com respeito e ouça-os enquanto perguntam sobre o que estão baseando suas observações, como um caso de uso pode ser feito a partir da situação para que ele não desapareça, e para ver o que pode ser feito para fazer quaisquer mudanças que precisam ser feitas.

Faça isso antes que os funcionários se desmoralizem e eventualmente tomem as coisas com suas próprias mãos. Não há nada tão potencialmente destrutivo quanto um funcionário leal que parou de fazer perguntas.

Seja construtivo e informativo

Em última análise, a segurança de TI é sobre manter a empresa a salvo de danos — danos financeiros, danos operacionais, danos à reputação e danos à marca. Você está tentando evitar uma situação que não só prejudicará o bem-estar da empresa, mas também a de seus funcionários. É por isso que precisamos explicar as ameaças reais e como os incidentes ocorrem.

Explique quais medidas podem ser tomadas para diminuir as chances e o impacto desses incidentes ocorridos e mostrar-lhes como eles podem fazer parte disso. As pessoas adoram aprender coisas novas, especialmente se tem algo a ver com seu trabalho diário.

Explique as trocas que estão sendo feitas, pelo menos em termos de alto nível. Explique a rapidez com que a conveniência, como executar uma máquina como administrador, pode levar a abusos. Não só as empresas vão apreciá-lo por sua honestidade, mas eles terão a resposta certa na próxima vez que a pergunta vier à tona. Eles pensarão ao longo das restrições e encontrarão novas formas de agregar valor ao negócio, ao mesmo tempo em que removem fatores de seu trabalho diário que podem resultar em um incidente a menos.

Nível com seus colegas

Todos têm um domínio de especialização, e devemos respeitar o trabalho e a responsabilidade uns dos outros, mas os seres humanos são seres humanos, e computadores e políticas de segurança impõem uma certa maneira de pensar e agir que pode resultar em jogo de poder entre indivíduos ou departamentos.

Ninguém quer sentar no meio desse tipo de partidas de tênis de reuniões do inferno. Assim, mantenha as discussões baseadas em fatos e tente manter as emoções e o estigma ao menor nível possível. No final das contas, todos devem trabalhar para os mesmos objetivos. Tentar apagar as velas de um departamento não faz suas velas brilharem mais.

Respeite a cultura da empresa

Confiar em seus funcionários é importante e uma parte vital do trabalho de qualquer um. Ser capaz de trabalhar em equipe não seria possível sem ele. Ainda assim, a confiança não é um modelo de segurança e certamente não escala. Quaisquer que sejam as medidas tomadas para garantir que os funcionários e seus funcionários e seus funcionários, dados e clientes finais sejam mantidos sob controle, eles devem considerar a cultura da empresa.

cultura de uma empresa não está definida em pedra e deve evoluir junto com seus funcionários e o zeitgeist atual. Entender onde uma empresa está ao tomar uma decisão relacionada à segurança cibernética facilitará a vida de todos.

A melhor segurança é invisível, imperceptível. Mas isso precisa vir com a compreensão e consciência de que só porque você não é confrontado com uma ameaça particular, não significa que não está lá

FONTE: HELPNET SECURITY

POSTS RELACIONADOS