0
0
O veterano de segurança Chris Deibler, o novo vice-presidente de segurança da DataGrail, foi contratado para formar a equipe de segurança da empresa para apoiar seu crescimento.
Ex-diretor de engenharia de segurança da Shopify e diretor de segurança da Twitch, ele sabe uma ou duas coisas (ou 52) sobre como instituir com sucesso uma organização de segurança dentro de uma empresa, então decidimos questioná-lo sobre o assunto.
[As respostas foram levemente editadas para maior clareza.]
Escalar uma equipe de segurança à medida que a empresa cresce é um empreendimento delicado. Quais são as notas que os responsáveis pelo esforço devem acertar desde o início? E que coisas nunca, nunca funcionam?
Ótima pergunta! Acho que a primeira coisa que você precisa comunicar é que não pode fazer tudo de uma vez, e isso necessariamente significará muitas melhorias de postura visíveis para a engenharia ao longo do tempo. Coisas pequenas vão mudar, coisas grandes vão mudar, você tentará uma abordagem que você viu funcionar antes que falha aqui e agora você tem que girar rapidamente.
Para seus clientes, isso pode parecer um caos ou falta de foco. Você precisa fornecer transparência sobre o que está abordando, quando e por quê; você precisa pedir a graça de errar alguns tiros. Você também precisa comunicar sua capacidade (esperançosamente crescente) de forma eficaz e educar que, à medida que você escala, alguns incêndios menores necessariamente ficam queimando na busca de melhores vitórias.
O que nunca funciona, ou pelo menos não na minha experiência, é tentar superar muitos degraus do modelo de maturidade de uma só vez. Você não vai de “Devemos fazer alguma observação em algum momento” para “Aqui está nossa ingestão de evento de autoajuste omni-fonte e fluxo de filtragem”. Você não pode superar a tolerância de sua organização de engenharia para processos e, especialmente, processos ruins. Andar antes de correr é clichê, mas é uma maneira menos dolorosa de descobrir um prego no sapato.
Você pode compartilhar alguns conselhos sobre como novos membros da equipe devem ser contratados (dentro ou fora da organização) e algumas dicas sobre como procurar e o que procurar em novas contratações?
Muitas organizações abordam isso de maneira diferente. Pessoalmente, sou fã da abordagem abrangente de serviço completo, em que as duas primeiras semanas de um novo contratado são realmente gastas aprendendo sobre a empresa, seu produto e seus clientes versus equipes, ferramentas e tecnologia. Sem entrar em contato com o gerente de contratação em intervalos úteis para perguntas, a base da educação deve ser a proposição de valor para as pessoas que você está atendendo. Trabalhando em um turno de armazém, assumindo um conjunto de tíquetes fáceis de suporte ao cliente, acompanhando uma venda remota; tudo o que permite que você experimente as necessidades e desejos do cliente.
Então você passa para “E é assim que nos encaixamos”. A segurança pode se tornar uma função muito isolada e voltada para dentro e, embora você possa ter sucesso assim, suas chances estão mais alinhadas com os negócios. Nesse sentido, conseguir que todos tenham um companheiro de integração fora de sua função é uma maneira útil de construir esse relacionamento.
Não tenho muitas dicas sobre o que procurar em novas contratações porque não suponho que conheça todas as maneiras pelas quais alguém pode ter sucesso na área. Acho que estamos vendo uma tendência geral de “Você pode abordar este trabalho de várias origens” nas descrições de cargos e práticas de contratação e isso é certo. Certamente há vitórias fáceis como “curiosidade” e “humildade”, mas você quer que sejam avaliadas mais adiante no funil. Você, como entrevistador do contexto de segurança, deve fornecer problemas práticos para resolver e sair do caminho para ver a abordagem. Uma coisa que gosto de ver neste modelo é a ponderação em torno do “porquê” da abordagem e a capacidade de girar com a adição de novos fatores.
De acordo com sua experiência, quais são as melhores maneiras de criar coesão na equipe de segurança?
Compartilhe uma cultura, torne-a o mais inclusiva possível e arranque maçãs podres. É isso.
Compartilhar cultura significa envolver seu povo na geração e manutenção dessa cultura. Seus princípios devem ser originados e expressos por seu pessoal. Seus rituais devem estar em uma cadência e estrutura que apoie sua neurodiversidade.
As coisas divertidas que vocês fazem juntos devem ser sugestões deles. O conteúdo para mostrar e contar deve ser o conteúdo deles. Nada disso o isenta do controle editorial, mas se você tratar o crescimento de sua cultura como o crescimento de sua organização – identificando líderes e investindo neles – você se sairá bem.
Existem guarda-corpos. Os jogos parecem fáceis, mas nem todo mundo gosta de jogos. Beber é um antigo padrão de segurança, mas nem todo mundo bebe, nem quer ficar por perto. Você precisa prestar atenção em quem aparece para as coisas divertidas e quem não – falta de participação pode não ser nada, mas também pode significar que seus rituais escolhidos não são inclusivos e você precisa encontrar algo melhor.
Botar maçãs podres é auto-explicativo, mas nunca houve uma saída que eu fiz onde dissesse depois “Cara, eu pulei nessa bem na hora”. Com mais frequência, é “eu deveria ter gerenciado essa pessoa para cima ou para baixo há um ano”. É uma armadilha fácil, especialmente para pessoas nativas. Não caia nisso. A toxicidade causa danos surpreendentemente amplos à sua cultura em um período muito curto de tempo. As pessoas levam essa memória para a próxima organização. Você ganha um representante. A contratação é mais difícil. A velocidade sofre. Não aceite maçãs podres.
Quais são as melhores maneiras de tornar a equipe de segurança uma engrenagem integral e bem-vinda na máquina da organização?
Aprenda e invista em seus rituais. A confiança que você constrói jogando do jeito deles vai lhe dar margem de manobra quando você voltar à mesa com melhorias.
Às vezes não há nada, e você tem que criar um processo de pano inteiro. Quando você faz isso, você tem que tratar a coisa que você criou como sagrada, e se responsabilizar por isso, ou ninguém vai te levar a sério.
Eu gosto de sistemas de severidade como um exemplo, porque eles são fáceis de entender e (por um capricho do destino) eu fico preso por construir um em quase todos os lugares que eu vou. Você se dá ao trabalho de construir esse sistema de gravidade, vai até o Eng e diz: “Tudo com esse traço é um sev-2 , queime-o em duas semanas”. Qual é a primeira coisa que eles vão fazer? Puxe os repositórios de segurança e veja há quanto tempo os sev-2 estão apodrecendo na videira. As equipes de engenharia adoram “Faça o que eu digo, não o que eu faço”. Esta é uma maneira complicada de dizer que você deve “comer sua própria ração”, mas a realidade é que sua credibilidade depende disso.
É um axioma frequentemente repetido que uma equipe de segurança diversificada é essencial para lidar com os problemas de segurança de maneira abrangente. Você acha que isso é verdade? Se não, por que não? Se sim, você pode compartilhar experiências anteriores que confirmaram isso para você?
Eu acho que isso é verdade, e já estive em ambas as pontas. Você precisa de pessoas dentro ou adjacentes à sua organização que pensem de forma diferente. Isso pode ser histórico, experiência de trabalho, origem cultural, raça, gênero, personalidade, neurotipicidade, idioma – todas essas coisas contribuem para o que sai de sua boca quando alguém faz uma pergunta difícil ou desafia uma suposição.
Suposições desafiadoras são o pão com manteiga da segurança, sejam elas suas ou de um parceiro. Acho que o exemplo mais fácil disso de que me lembro é na minha carreira como arquiteto, quando fui trazido para uma equipe existente que refletia sobre as mudanças de acesso remoto para uma classe de usuários arriscada. Eles estavam trabalhando nisso há semanas. Eu brinquei “Jogue-os no Citrix e vamos rolar!”, porque essa é a última solução que implementei e não poderia estar falando sério. Esta acabou sendo a melhor jogada de longe.
Da mesma forma, sou lembrado todos os dias de que meu entendimento de um espaço de solução é incompleto e que não vejo opções viáveis. Ao implementar o registro em nível de comando para um ambiente de bastião, nosso novo estagiário soltou “Bem, no Exército, nós fizemos isso”. Ninguém no espaço tecnológico da velha guarda estava nem perto. Eureca, amigo. Você não consegue diversidade de pensamento em grupos de pessoas seguindo uns aos outros de show em show. Obtenha um novo pensamento. Abra bem o topo desse funil.
Aumentar uma equipe de segurança é um desafio bem-vindo, mas e se a organização precisar reduzi-la? Existe uma maneira correta de fazer isso e quais erros devem ser evitados – e como?
Idealmente, qualquer circunstância em que uma organização de segurança precise ser reduzida é acompanhada por uma escala equivalente do negócio. Esta é uma das razões pelas quais entender sua(s) função(ões) de dimensionamento é tão importante como líder de segurança.
Você deve saber quantos engenheiros de segurança de aplicativos são necessários para dar suporte a uma determinada equipe de engenharia de produto. Você deve saber qual carga de incidente um determinado número de funcionários produz e quão grande deve ser sua rotação de plantão para processá-la. Você deve saber quantos engenheiros de infraestrutura são necessários para manter a cobertura adequada sobre seu portfólio de plataformas e nuvens. Não há padrão-ouro para esses índices, mas o ponto é que, para qualquer nível de risco, você tem uma equipe um tanto elástica com o negócio. Mude essas proporções, mude o risco. Essa é uma escolha que a empresa pode fazer, mas seu trabalho, além de defender seu pessoal e sua postura de risco, é escalar. O dimensionamento funciona nos dois sentidos. Seja transparente sobre as negociações com sua liderança. Documente as decisões. Decida quanto risco você pode tolerar pessoalmente (e ainda dormir).
Não importa como você chegou a esse ponto, certifique-se de ser um recurso para os humanos que está perdendo. A indústria de segurança é pequena e as memórias são longas.
As pequenas empresas precisam de segurança cibernética tanto quanto as grandes empresas, mas geralmente têm pouco dinheiro. Com isso em mente, você tem algum conselho para eles sobre como começar a desenvolver competência em segurança cibernética em sua organização dentro do orçamento?
Alguém influente em minha carreira uma vez me disse que segurança é o gerenciamento da dor aplicada, ou seja, que você precisa aplicar a dor correta às pessoas corretas. Alguém em sua organização já está desenvolvendo competência em segurança cibernética, quer queira ou não, em virtude de gerenciar as consequências – dor – de não ter um programa. Descubra quem é.
Adoto a abordagem de “recurso designado” em detrimento da abordagem de “segurança é tarefa de todos” porque acredito no axioma de que as coisas que pertencem a todos não pertencem a ninguém. Você (e eles!) precisam ser realistas sobre o que esse primeiro recurso pode fazer, mas a segurança da matriz com antecedência só faz sentido se você tiver um proprietário designado com autoridade de recursos para dirigir a matriz.
As conferências são baratas; alguns deles são de alta qualidade. Reddit é gratuito. CTFs e seus parentes são divertidos. Equipes colegiadas de segurança cibernética precisam de voluntários. Wiresharking sua rede doméstica é fácil e frequentemente informativo. Os recursos econômicos estão aí, tudo que você precisa é do humano com a faísca.
Em uma nota mais pessoal: Que desafios esperam por você na DataGrail?
Contratação e pavor de ser um agregador de ameaças.
Não é nenhum segredo que a contratação de segurança pode ser lenta e você será pressionado a pegar atalhos, seja empreiteiros ou aumento de equipe ou priorizando a redução de dor em vez de construir a equipe certa para o longo prazo. Algumas dessas coisas serão necessárias para manter sua sanidade e motivação ao longo do caminho. É um desafio divertido de se pensar porque você está pré-negociando com seu futuro eu que está sentado no meio de um incidente incendiário, executando suas próprias consultas, raspando seus próprios registros, procurando contatos de aplicação da lei e ocioso imaginando se a segurança foi a escolha correta da carreira. Talvez consiga um empreiteiro de RI para aquele cara, sim? Mas se recuperar de uma contratação ruim é pior. Dedique tempo, diga “não” com mais frequência e exija que seus painéis de entrevista enviem sinais claros. Se esse músculo ainda não existe, ensine-o. Nunca: “Eh,
Na frente do agregador de ameaças, é assustador ter um impacto tão profundo em coisas que os clientes downstream valorizam. Você nunca quer ser o vetor que faz alguém estourar. Entendo que o mundo é uma enorme teia feia de confiança transitiva agora e que as expectativas de segurança e privacidade do cliente parecem estar em baixa global, mas esse é o problema, certo? Essa confiança se foi. Nós – a empresa, a indústria, o ecossistema – temos que reconstruir essa confiança. Isso significa que temos que ser uma âncora de confiança, não um agregador de ameaças.
FONTE: HELPNET SECURITY