CISO Voices: o CISO como contador de histórias — Parte 3
Alguma vez você já quis ouvir os desabafos de um diretor de segurança da informação (CISO)? Agora você pode, graças a Jenny Radcliffe e à série de podcasts CISO Voices. Jenny recentemente reuniu-se com o CISO de aluguel Todd Wade para discutir a confusão em torno do papel do CISO e muito mais.
Veja a seguir um resumo de alguns pontos principais que Todd compartilhou durante essa discussão.
Sobre a luta do CISO para encontrar o seu lugar
Ao trabalhar em diversas organizações, vejo uma luta semelhante no que se refere ao papel do CISO. Para alguns, ele é um gerente técnico de segurança que supervisiona a segurança da informação na empresa, mas sem muita clareza do que isso significa exatamente. Nas diretorias, muitas empresas não sabem precisamente o que um CISO deve fazer e a quem ele deve estar subordinado.
Essa desconexão pode criar um problema de governança. Se o CISO não tem a autoridade e a responsabilização necessárias para tomar decisões relacionadas a risco, tais atribuições ficam a critério do diretor de tecnologia (CTO) ou de um cargo semelhante. É evidente que alguns CTOs são ótimos, mas a questão não é essa. O CISO e o CTO devem ser parceiros, trabalhando juntos em vez de um subordinado ao outro.
Os Estados Unidos estão migrando para um modelo no qual conhecimentos de cibersegurança são uma exigência em nível de diretoria. O Reino Unido também precisa seguir esse caminho. Algumas organizações aprenderam com seus problemas passados e seus CISOs não estão mais subordinados ao CTO ou a cargos semelhantes. O conselho diretor agora quer ouvir diretamente a pessoa encarregada da segurança da informação e eu acho que essa é uma mudança importante.
A importância da cibersegurança pessoal
CISOs e equipes de cibersegurança precisam ter o cuidado de falar a linguagem certa ao comunicar nossa mensagem. Isso se aplica tanto ao falar com o conselho diretor quanto com colegas. Uma boa postura de segurança depende da empresa como um todo e não apenas da equipe de segurança. Portanto, precisamos construir relacionamentos.
Uma maneira de fazer isso é tornar pessoais esses relacionamentos. As pessoas são mais propensas a ter um momento de reconhecimento quando conseguem enxergar como uma violação ou comprometimento as afeta. Infelizmente, eu conheço pelo menos um executivo sênior que não se importa com a segurança corporativa e que clica em qualquer link sem pensar duas vezes. Até, é claro, que um clique desses resulte no comprometimento de suas contas financeiras pessoais.
Portanto, precisamos acertar a mensagem e mostrar às pessoas que bons hábitos de segurança podem protegê-las e aos seus empregadores. Quando ensinamos às pessoas como melhorar a postura cibernética de suas famílias e delas próprias, elas assimilam isso melhor e esses mesmos hábitos acabam sendo praticados no local de trabalho.
A repetida ascensão do ransomware
Todo mundo já ouviu falar do ransomware. Qualquer pessoa entende o conceito, trabalhando no setor ou não — porque, na verdade, trata-se basicamente de extorsão.
O objetivo dos criminosos cibernéticos é continuar a praticar extorsão pelo máximo de tempo possível. Eles se aproveitam de qualquer apelo emocional, seja a COVID-19 ou a guerra na Ucrânia. São pessoas que não possuem vergonha alguma — e isso é parte das razões pelas quais conseguem entrar nos sistemas. E o mais provável é que eles eventualmente consigam entrar.
Manter essas ameaças do lado de fora é, ao mesmo tempo, difícil e caro. É por isso que os termos da discussão estão mudando e todas as organizações devem partir do princípio de que serão atingidas por um ataque de ransomware. Com isso, a questão passa a ser: qual é o seu nível de resiliência – e com que rapidez você consegue se recuperar?
Quer ouvir mais opiniões de CISOs?
Visite CISO Voices para ouvir toda a entrevista de Jenny com Todd, além de outros episódios.
Os podcasts Human Factor Security de Jenny também contêm insights adicionais de especialistas em cibersegurança. Fique atento a nossa próxima postagem no blog CISO Voices para descobrir insights de cibersegurança de Daniela Almeida, CISO da fintech holandesa Tinka.
Central do CISO da Proofpoint
Visite nossa central do CISO para obter atualizações regulares sobre pesquisas, insights e recursos de cibersegurança, especificamente para a comunidade global de CISOs.
Central de ransomware da Proofpoint
Não deixe de conferir também a central de ransomware da Proofpoint para saber mais sobre essa ameaça e sobre como a Proofpoint ajuda as organizações a se defender delas.