0
0
Não muito tempo atrás, a segurança cibernética era vista como algo separado do resto de um negócio (pense em dois caras de moletom trabalhando em uma sala separada). Mas, na última década, finalmente recebeu o merecido e necessário reconhecimento e atenção. Um número crescente de empresas está contratando diretores de segurança da informação (CISOs) para ajudar a moldar sua estratégia geral de negócios, tornando a segurança uma prioridade máxima para os conselhos de administração corporativos. Por sua vez, os CISOs estão começando a entender e definir o papel da segurança como um facilitador de negócios, não como um departamento do “não”.
As coisas estão evoluindo e é emocionante testemunhar essas mudanças, embora pareça haver uma lacuna importante.
Grande parte da discussão sobre a evolução da segurança nos negócios está centrada no papel e nas responsabilidades cada vez maiores dos CISOs: recrutar e desenvolver equipes de alto desempenho, construir relacionamentos com líderes de outros departamentos, comunicar e gerenciar em todos os níveis, capacitar o negócio para atingir suas metas e objetivos, e assim por diante. O que falta na maioria dessas conversas são os profissionais de segurança e a importância de eles entenderem o lado comercial da segurança.
Há duas razões importantes pelas quais ter os CISOs como as únicas pessoas que pensam sobre os negócios não funcionará bem: 1) Sem uma compreensão do negócio, é difícil para os profissionais de segurança fazer um bom trabalho protegendo-o; e 2) sem uma compreensão do lado comercial da segurança cibernética, é difícil para os profissionais técnicos de segurança serem eficazes na construção do futuro do setor. Vamos dar uma olhada em cada um desses fatores.
Você não pode proteger o que não entende
O ambiente de cada organização é diferente. Existem diferentes ferramentas e aplicativos usados pelos funcionários, diferentes maneiras pelas quais as pessoas colaboram, diferentes tipos de dados que as empresas coletam e, o mais importante, diferentes joias da coroa que precisam de proteção. Muitas (eu diria até a maioria) dessas diferenças são resultados diretos do negócio em que a empresa atua. Um fabricante de geladeira tem diferentes tipos de riscos e diferentes tipos de partes com acesso aos seus dados do que uma agência de marketing ou um laboratório de biotecnologia.
Todos os dias, os profissionais de segurança tomam decisões que afetam a postura de segurança de suas organizações; eles não podem confiar que os CISOs sejam as únicas pessoas com conhecimento crítico sobre o negócio. Entender como a empresa gera receita, como os vendedores compartilham informações uns com os outros e com seus clientes potenciais, como as equipes financeiras acessam as informações quando trabalham remotamente e como os fornecedores são pagos é fundamental para proteger adequadamente o ambiente da organização. Estatisticamente, é mais provável que uma empresa sofra uma violação por causa de como algum departamento configurou seu processo de negócios, não por causa do último dia zero encontrado pela Apple (embora aprender sobre o último possa ser mais emocionante).
Você não pode inovar o que não entende
Nem todos os profissionais de segurança devem se tornar empreendedores, mas alguns inevitavelmente o farão. Os futuros fundadores de segurança cibernética geralmente passam muitos anos no setor antes de encontrar um problema doloroso que vale a pena resolver e criar uma determinação para fazê-lo. Isso significa que, no momento em que lançam uma startup, os empreendedores de segurança têm uma compreensão profunda do lado técnico do setor. Infelizmente, o mesmo não é verdade sobre o lado comercial da segurança cibernética.
Ficar curioso, fazer perguntas e construir relacionamentos com pessoas de outras partes da empresa ajuda os futuros fundadores e líderes de segurança com o seguinte:
- Compreender como funciona o processo de compras nas organizações, quem está envolvido e como são tomadas as decisões.
- Construir uma compreensão de quais áreas de uma empresa estão sendo negligenciadas pelas soluções de segurança atuais e quais problemas ainda não foram resolvidos.
- Desenvolver uma visão mais ampla do que é preciso para administrar uma empresa e como diferentes funções contribuem para o sucesso geral.
- Obter uma visão ampla de diferentes tipos de empresas, diferentes modelos de receita e estruturas organizacionais e como esses fatores afetam os resultados dos negócios.
Embora entender o negócio da organização que se está tentando proteger seja fundamental para criar as medidas defensivas corretas, saber como é o lado comercial da segurança cibernética é útil para garantir que os fundadores não fiquem tão entusiasmados com a tecnologia a ponto de se esquecerem disso. precisa haver um modelo de negócio sustentável para a empresa crescer.
Olhando para o futuro
Houve um tempo em que o desenvolvimento de software estava onde a segurança está hoje, com os engenheiros não precisando pensar no lado comercial das coisas. Um gerente de produto traria os requisitos e os desenvolvedores os transformariam em software funcional sem fazer perguntas. Atualmente, o desenvolvimento de produtos é visto como uma solução coletiva de problemas – desenvolvedores, designers e gerentes de produtos trabalham juntos para atingir os objetivos de negócios. Para isso, o pessoal do produto precisa entender os fundamentos da tecnologia, e os engenheiros precisam ter uma forte compreensão do negócio em que sua empresa está inserida.
Quanto mais cedo os profissionais de segurança se tornarem mais proativos na compreensão do lado comercial das organizações que são contratados para proteger e do setor como um todo, melhor eles serão capazes de realizar seus trabalhos e maior a probabilidade de criarem as inovações que mudam o maneira como as coisas funcionam na indústria para melhor. Embora ninguém espere que eles obtenham MBAs, todo profissional de segurança se beneficiaria ao obter alguma visibilidade em áreas como marketing, vendas, atendimento ao cliente, finanças, operações e afins. Afinal, os processos de negócios são de onde vêm muitas vulnerabilidades.
FONTE: DARK READING