dezembro 26, 2022

[Segurança] Retrospectiva: CISOs em alerta!

Para os gestores de segurança, nenhuma notícia foi tão impactante neste ano quanto a condenação do CISO da UBER por ter escondido um ciber ataque que causou o roubo de dados.

Em outubro deste ano o júri do tribunal federal dos EUA na Califórnia considerou o ex-diretor de segurança da Uber, Joseph Sullivan, culpado por não divulgar aos reguladores a invasão e roubo de dados de clientes e motoristas ocorrida em 2016, além de tentar encobrir o incidente. Ele enfrenta um máximo de oito anos de prisão. O ataque a Uber, em 2016, aconteceu quando dois hackers obtiveram acesso não autorizado aos backups de banco de dados da empresa, o que levou a empresa a pagar secretamente um resgate de US$ 100.000 em troca da exclusão das informações roubadas. Para mascarar o pagamento do "resgate", foi realizado um pagamento de prêmio através do programa de Bug Bounty da Uber com a plataforma HackerOne. A Uber já pagou cerca de 160 milhões em multas por causa deste incidente.

Por mais incorreta que tenha sido a atitude do executivo, o fato dele ser condenado despertou a preocupação sobre a responsabilidade que as pessoas físicas tem ao assumir um cargo de direção.

Agora junte isso ao stress inerente de quem trabalha na área de segurança. Os profissionais de segurança normalmente trabalham sob grande stress, causado pela junção de vários fatores, tais como:

  • Constante risco de sofrer um ciber ataque;
  • medo do grande impacto que pode ser causado por um eventual ataque de Ransomware a empresa;
  • orçamento insuficiente para investir nas ferramentas necessárias de proteção (além do alto custo dessas ferramentas);
  • grande sofisticação dos ciber ataques e grande variedade de métodos, capazes de invadir até empresas bem preparadas;
  • falta de mão de obra qualificada (devido ao apagão de talentos na área), fazendo com que os profissionais existentes tenham que ter um esforço extra para realizar o trabalho acumulado pela falta de pessoas no time.

Pior do que trabalhar sob stress, é estar em uma empresa que não te dá o apoio necessário para realizar o seu trabalho.

Veja alguns sinais de alerta de que o gestor de segurança pode estar em uma empresa que não lhe dá o apoio necessário para realizar suas funções (baseado nesse artigo do Identity Management Institute):

  • A função do CISO não é uma função executiva, não se reporta a um executivo de alto nível ou reporta a uma função que crie conflito de interesses. Por exemplo, ainda é muito comum ver a área de segurança se reportando a gerentes de TI;
  • seu gestor direto não tem influência na organização e muitas vezes não é levado a sério por outros executivos;
  • a alta gestão da empresa, incluindo o CEO, não estão interessados ​​em riscos de segurança e não apoiam as iniciativas de segurança;
  • a função de DPO, ou Encarregado de Proteção de Dados, não está bem definida e atribuída. Quando isso acontece, é comum que o CISO acabe sendo responsabilizado também pelas questões relacionadas a privacidade, que podem gerar demandas de alto risco - que ele será responsabilizado, mas terá pouca capacidade de resolver;
  • recursos financeiros insuficientes, incluindo para montar uma equipe com o número de funcionários necessários, implementar as soluções técnicas de segurança necessárias e contratar seguro de segurança cibernética. Nesse cenário, seu gestor (e/ou o CFO) provavelmente ignora os pedidos de recursos e não dá valor aos riscos de segurança apresentados;
  • a alta gesto solicita que o CISO esconda informações, conte mentiras ou fique calado no interesse da organização durante reports de incidentes ou em auditorias realizadas por terceiros;
  • o CISO é colocado sozinho, sob grande pressão e sem o suporte necessário durante momentos difíceis, como incidentes de segurança;
  • por fim, se o salário do CISO estiver bem abaixo da média de mercado, esta é mais uma indicação de que o papel do CISO não é levado a sério na empresa.

E, o que fazer nesses casos? Eu pensei em algumas dicas:

  • Para os gestores:
    • seja sempre ético e transparente;
    • mantenha comunicação aberta, direta e frequente com seu time e com os seus pares na alta gestão;
    • estabeleça processos bem definidos (e playbooks) que, uma vez documentados, vão orientar a atuação do time e, ao mesmo tempo, servir de evidência do seu trabalho;
    • formalize e documente todas as decisões importantes;
    • se discordar de uma decisão relevante, documente a sua opinião e, dependendo da severidade, faça uma cópia das mensagens para se resguardar no futuro;
    • sempre, sempre e sempre reconheça o trabalho de sua equipe nos momentos difíceis e sob pressão;
    • sua equipe está com uma grande dificuldade e sob pressão? Ter o gestor ao lado, para apoiar e ajudar em vez de cobrar, é importantíssimo para manter a moral do time;
    • nunca, jamais esconda informações em auditorias e em relatórios a órgãos reguladores;
  • Dicas em geral:
    • adote hábitos saudáveis para combater o stress, como praticar exercícios, ter momentos de lazer, melhorar sua alimentação, ter uma quantidade apropriada de horas de sono, etc;
    • "work hard, play hard" é um ditado muito popular na área, mas que deve ser seguido com moderação. É saudável celebrar os sucessos e descontrair após momentos de grande pressão ou stress, mas cuidado com os exageros;
    • mantenha seu ambiente de trabalho confortável, limpo, organizado e bem iluminado;
    • separe os momentos de trabalho e de descanso, respeite as pausas de férias (suas e da equipe) e desconecte-se: evite usar o celular para trabalho fora do horário de expediente;
    • reconheça e respeite os seus limites, buscando por sinais de esgotamento e agindo antes que seja tarde demais.

Para saber mais:


Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.