0
0
O que separa os CISOs superestrelas do resto do bando é que eles estão profundamente cientes do crescente cenário de ameaças e da escassez de habilidades em segurança cibernética , mas não cedem ao desespero. Em vez disso, eles usam seus ativos existentes com grande efeito, incluindo o acesso a uma fonte oculta de força que é criticamente negligenciada como um recurso de segurança: suas equipes de desenvolvimento.
Na era do hype do DevSecOps , é comum dizer que a segurança é responsabilidade de todos. Mas há limites para o que trabalhadores destreinados e desmotivados – especialmente aqueles que não trabalham em TI – podem fazer para tornar sua organização mais segura contra ameaças cibernéticas.
Por exemplo, no mundo real, os viajantes em um aeroporto movimentado devem se sentir responsáveis por relatar uma mala abandonada sozinha em um local suspeito. No entanto, eles não são treinados para inspecionar aquela bolsa em busca de ameaças ou autorizados a realizar qualquer ação por conta própria. Em uma empresa, uma coisa é conscientizar todos sobre segurança cibernética e outra é educá-los para tornar sua organização mais segura dentro do contexto de sua função ou para usar as ferramentas defensivas que já possuem para combater ameaças e eliminar vulnerabilidades.
Para isso, as empresas precisam investir em upskilling . É muito melhor, e muitas vezes mais fácil, investir na equipe talentosa e leal que já faz parte da sua organização do que tentar contratar novas pessoas de fora. Mas, mesmo assim, colocar esses recursos de aprendizado no melhor lugar para obter os resultados necessários é fundamental.
Os desenvolvedores já entendem de TI, pois escrevem grande parte do código dos programas usados por suas organizações. E eles geralmente estão prontos, dispostos e capazes de aprimorar suas habilidades em segurança cibernética para ajudá-los a se tornarem ainda mais incríveis em seus trabalhos. Os CISOs inteligentes estão aproveitando esse entusiasmo e fornecendo aos desenvolvedores os caminhos de educação que desejam e precisam, com a recompensa sendo uma redução nas vulnerabilidades comuns (sem mencionar menos pressão sobre o pessoal sobrecarregado do AppSec).
Certificar-se de que os desenvolvedores obtenham o aprimoramento e o suporte corretos
Os melhores CISOs sabem que o upskilling é fundamental para o sucesso. Mas não é qualquer treinamento que serve, especialmente para a comunidade de desenvolvimento que já possui um bom conhecimento básico de TI. Um programa “check-the-box” não oferecerá muito retorno sobre o investimento e provavelmente frustrará os desenvolvedores com baixo desempenho e um ódio vitalício de trabalhar com equipes de segurança.
Da mesma forma, qualquer solução que impeça o fluxo de trabalho, não consiga manter a agilidade com os objetivos de segurança da empresa ou não forneça a educação certa no momento certo em um formato facilmente digerível, provavelmente não resultará em conhecimento ou habilidades fundamentais de segurança .
Outros segredos de CISOs superestrelas
Os CISOs exemplares também são capazes de abordar outros pontos problemáticos importantes que tradicionalmente confundem bons programas de segurança cibernética, como as relações entre desenvolvedores e equipes de segurança de aplicativos (AppSec), ou como a segurança cibernética é vista por outros executivos de nível C e pelo conselho de administração.
Para as relações AppSec , bons CISOs percebem que a capacitação do desenvolvedor ajuda a deslocar a segurança mais para a chamada esquerda e mais próxima das origens de um software. Corrigir falhas antes que os aplicativos sejam lançados em ambientes de produção é importante e muito melhor do que a maneira antiga de criar o código primeiro e executá-lo pela equipe do AppSec no último minuto para evitar esses hotfixes irritantes e atrasos na entrega. Mas não pode resolver todos os problemas do AppSec sozinho. Algumas vulnerabilidades podem não aparecer até que os aplicativos entrem em produção, portanto, confiar na mudança deixada isoladamente para detectar todas as vulnerabilidades é impraticável e caro.
Também é preciso haver testes e monitoramento contínuos no ambiente de produção e, sim, às vezes os aplicativos precisam ser enviados de volta aos desenvolvedores mesmo depois de implantados. Um ótimo CISO, com um pé no desenvolvimento e na segurança, pode amenizar essas relações e manter todos trabalhando em equipe.
Conseguir que outros executivos C-suite tenham mais segurança pode ser um desafio ainda mais difícil, com a liderança fora do CISO e do CIO normalmente olhando para os objetivos de negócios e lucros antes de qualquer outra coisa. Para combater isso, CISOs superstar sabem como mostrar uma correlação direta entre segurança cibernética melhor e mais madura e aumento de receita, e como isso pode até mesmo fornecer uma vantagem competitiva contra a concorrência.
Não é fácil ser um CISO e certamente mais desafiador do que em qualquer outro momento da história. Mas os CISOs que dominam essa adversidade estão se tornando verdadeiros superastros em suas empresas e comunidades. Eles empregam com competência o aprimoramento de habilidades de desenvolvedores ágeis, defendem a cultura de segurança, simplificam os relacionamentos entre os rivais tradicionais de desenvolvimento e as equipes de AppSec e incentivam a liderança a promover uma abordagem de segurança em primeiro lugar de cima para baixo.
FONTE: HELP NET SECURITY