Participação em comunidades e um olhar atento ao envenenamento de ferramentas de IA são apenas algumas das ações que levam um CISO à excelência.
A cibersegurança cresce em importância a cada dia. Em paralelo, CISOs (Chief Information Security Officers) são mais valorizados – e lidam com maiores exigências.
Para estar à altura das expectativas, estes profissionais devem ir além do básico e estar alinhados às melhores práticas de cybersecurity, como anonimização de dados e combate ao fingerprinting de navegadores.
Neste artigo, você verá o que é necessário para ser um CISO de excelência, capaz de enfrentar as crescentes ameaças de cibercriminosos.
Um cargo cuja importância nunca para de crescer é a do CISO (Chief Information Security Officer). Como poderia ser diferente? Afinal, com a acelerada digitalização do mundo, organizações de todos os portes e setores estão cada vez mais sujeitas a serem alvos de cibercriminosos.
A segurança digital é uma prioridade inevitável. E essa crescente importância do CISO vem acompanhada por maiores exigências. Como estar à altura dessa demanda?
Continue a leitura e você saberá.
O bom CISO
Para se tornar “excelente” em uma função, primeiro é preciso ser “bom” nela. E o bom CISO é aquele capaz de:
- Montar um sólido planejamento estratégico de segurança;
- Gerenciar os riscos de segurança de dados aos quais a organização está sujeita;
- Implementar políticas de segurança;
- Planejar e executar ações de resposta a incidentes;
- Avaliar as tecnologias de segurança usadas na organização;
Cada item tem seus desdobramentos, que se tornam mais evidentes no dia a dia da organização, e o nível de dificuldade pode variar. Via de regra, porém, é o básico que se espera de qualquer CISO.
Os erros e armadilhas mais comuns
Existem muitas armadilhas e enganos comuns que o CISO deve evitar no exercício de suas funções. Como principais, podemos listar:
- Falta de alinhamento entre segurança e objetivos de negócio: Por mais importante que seja, a segurança não é um fim em si mesma dentro da organização – deve estar alinhada com os objetivos de negócio. Do contrário, levará a gastos excessivos ou ações desnecessárias;
- Ignorar ou subestimar os riscos da organização: Existem riscos de segurança que são mais comuns para determinados mercados do que para outros. Focar apenas em cenários gerais, que se aplicam a qualquer empresa, e ignorar os mais específicos, pode levar a estratégias menos efetivas;
- Comunicação ineficaz: Seja na hora de apresentar propostas ao quadro executivo, seja na comunicação com os colaboradores, muitos CISOs acabam não transmitindo suas ideias e informações com clareza. Um dos erros mais comuns é o de usar muitos jargões técnicos, atrapalhando o entendimento de quem não é da área;
- Descuido com o fator humano da segurança: Sem conscientização, treinamentos e processos, mesmo as melhores ferramentas de segurança não serão suficientes. É preciso lembrar que muitas brechas e vulnerabilidades nascem, justamente, de falhas humanas;
- Desatualização: O CISO que não procura se manter atualizado corre o risco de adotar práticas obsoletas;
- Falta de colaboração com outros setores: A segurança da informação não é responsabilidade exclusiva do setor de segurança – é de todos. Sem trabalhar em conjunto com outros departamentos (como TI, RH e Jurídico), o CISO dificilmente consegue implementar medidas eficazes;
- Foco exclusivo em compliance: Estar em conformidade com regulamentações externas (como a LGPD) é essencial, mas não é suficiente para garantir a segurança da empresa. Afinal, essas normas não necessariamente cobrem todos os riscos aos quais a organização está sujeita.
Evitar estes erros é, também, uma boa maneira de se tornar um CISO acima da média.
Agora podemos falar das melhores práticas – que vão além do “siga o básico” e do “não caia em armadilhas”.
O caminho do CISO de excelência
Podemos dividir as melhores práticas em três categorias: técnica, tecnológica e humana.
Recomendações Técnicas
- Implemente sistemas de monitoramento contínuos: Estar sempre de olho em situações suspeitas ajuda a responder com agilidade e reduzir os dados de ataques;
- Avalie periodicamente as políticas de segurança: Seja por mudanças internas, seja por mudanças no mercado, sempre há a possibilidade de as políticas de segurança da organização se tornarem ultrapassadas. É importante mantê-las atualizadas para garantir sua eficácia;
- Faça testes de simulação de incidentes: A prática dos exercícios de tabletop (em que se simulam incidentes de segurança) e de pentests ajuda a manter os profissionais “afiados” em caso de problemas reais de segurança, como invasões e vazamentos;
- Incentive a inovação segura: É comum que executivos e gestores olhem apenas para os benefícios trazidos por novas ferramentas. O CISO de excelência mantém um olhar atento e avalia os eventuais riscos à segurança trazidos por ferramentas e parceiros;
Recomendações Tecnológicas
- Adote um modelo de networking identity-first: Esse modelo (uma possível alternativa ao zero trust) vincula diretamente a identidade do usuário ao DNS (domain name server), dificultando a falsificação e fortalecendo a segurança da rede;
- Reduza as ações de fingerprinting de navegador: É praticamente impossível cessar as ações de fingerprinting de navegador (em que a identidade do usuário é vinculada a configurações do navegador), mas por meio de extensões de privacidade e virtualizadores de navegador é possível mitigá-las;
- Combata o AI poisoning: Mesmo organizações que não aplicam diretamente ferramentas de IA e ML estão sujeitas ao “AI poisoning” (envenenamento de IA), em que prompts maliciosos prejudicam o funcionamento de algoritmos de IA. É importante manter um olhar atento a consequências desse tipo de ação, encerrando a parceria com terceiros (ou o uso de ferramentas) que foram afetados;
- Aumente a anonimização de dados: Ações e ferramentas que anonimizam dados podem aumentar a segurança de informações, sejam elas estáticas ou dinâmicas. O CISO de excelência busca oportunidades de aplicar estas ações.
Recomendações Humanas
- Participe de comunidades: A participação direta em comunidades de profissionais de segurança ajuda o CISO a se manter atualizado em relação às melhores práticas e evitar o risco de se tornar obsoleto em relação às tendências mais recentes;
- Promova uma cultura de segurança centrada nas pessoas: Os melhores CISOs mantêm um olhar atento ao aspecto humano da cibersegurança, promovendo treinamentos, solucionando dúvidas e conscientizando colaboradores de todas as equipes da organização;
- Em apresentações, foque em métricas significativas ao negócio: Ao dialogar com profissionais de outras áreas, é importante alinhar-se com a audiência. Existem métricas que fazem os olhos do profissional de segurança brilharem, mas que não têm uma importância clara para stakeholders ou gestores de RH, por exemplo.
Diante de ameaças cada vez mais sofisticadas à segurança digital das empresas, CISOs que permanecem na média acabam sendo ultrapassados. Os excelentes, por sua vez, devem prosperar e ser valorizados em escala crescente.
Eleve ao novo patamar a segurança digital da sua organização: clique aqui e agende uma conversa com um profissional da Prime Control!