0
0
Com os ataques cibernéticos se tornando mais frequentes e caros, sem mencionar os desafios adicionais inerentes à proteção de uma força de trabalho remota, é mais importante do que nunca que as organizações construam uma cultura de segurança . Isso, claro, não é uma coisa nova a dizer e ainda assim continua precisando ser dito. Então, por que ainda não resolvemos isso?
Parte disso é que o trabalho nunca para. É como levar um estilo de vida saudável; independentemente de quão em forma e saudável você fique, você nunca chega a um ponto em que pode simplesmente parar de tomar decisões saudáveis e permanecer saudável. O que o torna mais desafiador é tentar fazer com que toda a organização tome todas as pequenas decisões para se manter seguro.
Não seja o time do “não”
As equipes de segurança são muitas vezes vistas como a equipe do “não”, ou como o médico dizendo que você deve realmente cortar totalmente os alimentos salgados. Você pode concordar em geral, mas quão realista é que você nunca mais coma alimentos salgados? Se as regras forem excessivamente restritivas ou tornarem as tarefas significativamente mais difíceis, as pessoas enganarão o sistema. Temos que encontrar uma maneira de ter mais cenoura e menos pau. Temos que pavimentar o caminho para os funcionários para que a segurança não seja uma tarefa árdua.
É absolutamente importante que haja treinamento sobre ataques de phishing, use autenticação de dois fatores e altere as senhas regularmente. Mas como podemos simplificar esse processo? Sou um grande fã de empresas que dão aos funcionários uma assinatura de um gerenciador de senhas. Isso resolve uma dessas preocupações e, sem dúvida, torna a vida dos funcionários um pouco mais simples. Trata-se muito de construir uma via de mão dupla em vez de ser um portão endurecido. Isso nos permite começar a construir processos ao lado de outros departamentos que fazem sentido para seu fluxo de trabalho. Esses processos mudarão de empresa para empresa, mas a chave aqui é procurar maneiras de melhorar a segurança e, ao mesmo tempo, melhorar o fluxo de trabalho dos funcionários em geral.
Abrace a agilidade
Uma das maiores razões pelas quais as equipes de segurança são ignoradas é que elas dificultam a agilidade. Não há nenhum lugar que isso seja mais verdadeiro do que na equipe de desenvolvimento. Trabalhei no espaço SaaS por algum tempo, e a capacidade da equipe de desenvolvimento de entregar, e entregar rápido, é o núcleo do que determinará o sucesso ou o fracasso de uma empresa.
No entanto, os desenvolvedores são famosos por encontrar maneiras de contornar os protocolos de segurança porque os protocolos diminuem a velocidade com que são capazes de iniciar aplicativos. Embora algumas equipes de segurança possam ver isso como uma falha da equipe de desenvolvedores, eu vejo isso como uma falha do programa de segurança. As empresas de SaaS devem ser capazes de fornecer aplicativos na velocidade dos negócios e, ao mesmo tempo, serem seguras. É trabalho da equipe de segurança ser o coach de segurança da organização e isso envolve a implementação de políticas que não prejudiquem a capacidade do desenvolvedor de fazer seu trabalho.
Como um exemplo, os desenvolvedores costumam usar o código aberto para evitar a recriação de funções que já existem e são fáceis de conectar. O perigo disso, no entanto, é a fonte desse código. Há muitos códigos maliciosos por aí, e vimos até mesmo alguns dos desenvolvedores mais talentosos serem vítimas disso. Para evitar isso, as organizações devem priorizar a criação de repositórios internos de código verificado dos quais os desenvolvedores podem extrair. Se a organização não tiver tamanho para criar seu próprio repositório interno, ela deve procurar fornecedores que forneçam bibliotecas de código digitalizado. Dessa forma, o fluxo de trabalho do desenvolvedor não é impedido, mas ainda assim fica mais seguro.
Quebrar Silos
Outro passo importante é construir a cultura para que a segurança pertença a todos dentro da organização. Qualquer pessoa que toque em um computador deve estar ciente da segurança. Embora as equipes de segurança precisem trabalhar com diferentes departamentos e integrar-se efetivamente em seus fluxos de trabalho, ainda assim deve ser um esforço colaborativo. Quando se trata de habilitar as equipes de desenvolvimento, recomendo construir um programa de segurança (ou de ligação de segurança). Isso dá à segurança um lugar à mesa enquanto os desenvolvedores estão projetando aplicativos e planejando o trabalho.
Estabelecer esse programa o mais cedo possível em sua organização aumentará sua conscientização sobre o que está acontecendo nas diferentes equipes de desenvolvimento e garantirá que a segurança não se torne um gargalo no pipeline de entrega de software. Encontrar pessoas para comprar esse modelo de outros departamentos é tão bom quanto ouro para os profissionais de segurança, porque o conselho sempre é mais fácil quando não vem diretamente da equipe de segurança.
O desafio, claro, é encontrar indivíduos que estejam dispostos a assumir o trabalho extra de defender a segurança, mas, na ausência de um defensor, procure pelo menos obter contatos com os diferentes departamentos. A verdade simples é que as equipes de segurança estão sobrecarregadas demais para serem a única proteção contra agentes mal-intencionados, portanto, precisamos obter a adesão do resto da organização:
FONTE: DARK READING