theNet by CLOUDFLARE

Sua primeira linha de defesa na segurança cibernética

As pessoas são uma parte importante na proteção da empresa

À medida que as ameaças à segurança cibernética continuam aumentando, também aumentam os ataques ligados a "erro humano". Há uma razão pela qual as "Pessoas" vêm em primeiro lugar na base de Pessoas, Processos e Tecnologia de uma estratégia de segurança sólida. Quando sua força de trabalho entende a segurança cibernética e o papel que desempenham nela, eles se tornam sua primeira linha de defesa para proteger a organização e reduzir os riscos.


A cultura de segurança em primeiro lugar começa no topo

A cultura não é um cartaz na parede. Ela está presente na forma como as equipes se envolvem e nos comportamentos que são recompensados.

A cultura de segurança começa no topo de uma organização, com sua liderança. Ela se faz notar em três maneiras: priorização, comunicação e liderança pelo exemplo.

Uma cultura que promove uma estratégia de defesa proativa capacita os funcionários a detectar e relatar riscos. Usamos um mecanismo de denúncia simples, mas eficaz, para relatar qualquer coisa suspeita para que nossa equipe de resposta a incidentes de segurança (SIRT) investigue. Incentivamos e defendemos as pessoas que enviam mais relatórios de incidentes de segurança mensalmente. Compartilhamos incidentes para construir uma comunidade que compartilha uma missão de proteger e defender. Nossos líderes mais experientes dão o exemplo e também relatam qualquer coisa suspeita.

A transparência na forma como nos comunicamos e priorizamos a segurança é claramente articulada pela liderança da Cloudflare. Você clicou acidentalmente no link de phishing ou deixou o notebook desprotegido? Nossas equipes são incentivadas a se autoavaliar, sabendo que não serão penalizadas por um erro. Isso promove uma cultura na qual fazemos a coisa certa para mitigar erros.



Como criar uma cultura de conscientização

Mesmo em uma empresa de segurança como a Cloudflare, nem todos são especialistas em segurança cibernética. Mesmo aqueles com um histórico cibernético mais consistente terão dificuldade para acompanhar a evolução dos vetores de ataque.

Compartilhar histórias sobre como nosso trabalho impede os ataques de segurança cibernética mantém nossas equipes conscientes e vigilantes. Compartilhar esses insights não apenas celebra nossas vitórias, mas também nos ajuda a aprender com cada incidente, transformando as batalhas diárias em lições que fortalecem nossas defesas. Essa prática promove uma cultura de aprendizado e preparação contínuos, garantindo que cada membro da equipe, desde o recém-chegado ao especialista experiente, entenda a natureza dinâmica das ameaças.

Recentemente, tivemos um incidente em que nossos funcionários foram visados por meio de contas pessoais de mídia social. Eles entenderam o risco e sabiam da importância de notificar nossa equipe SIRT. A resposta rápida de nossa força de trabalho nos permitiu compartilhar o incidente com a equipe para aumentar a conscientização, investigar e deter o invasor por meio de uma parceria com o provedor de mídia social.



Entender que todos têm uma função

Ter uma forte cultura de segurança e maior conscientização é um ótimo começo. Mas é igualmente crucial que cada membro de sua organização entenda o seu papel específico na manutenção de uma postura de segurança forte.

Comece estabelecendo políticas de segurança cibernética claras e compreensíveis. Certifique-se de que essas diretrizes não sejam apenas teóricas; elas precisam explicar o "como" e o "por quê", tornando-as acionáveis. Mantenha essas políticas acessíveis e atualize-as anualmente para refletir as novas ameaças e mudanças na tecnologia, reforçando o dever de todos de cumpri-las.

Capacite sua organização com o conhecimento de ações imediatas: como relatar uma violação de política, reconhecer tentativas de phishing e engenharia social, lidar com violações de segurança físicas como tailgating no escritório ou detectar sistemas configurados incorretamente.

Embora o treinamento anual sobre segurança cibernética e conscientização sobre privacidade defina uma base sólida, vá além disso integrando treinamento de segurança específico para a função. Essa abordagem incorpora medidas de segurança em todas as facetas de seus processos organizacionais, garantindo que a segurança não seja apenas uma política, mas uma prática incorporada à estrutura diária de suas operações.



Reduzir o risco de erro humano

Uma grande carga que recai sobre as equipes de segurança em todas as organizações é a complexidade.

Quanto mais complexos forem os seus sistemas, maior a probabilidade de ocorrer um erro. As configurações incorretas são um risco significativo que os invasores podem explorar. Confiar, mas verificar é um clichê de segurança da velha guarda que resiste ao teste do tempo. É imperativo que suas equipes validem a eficácia das configurações e da implementação de controles para garantir que um erro humano não crie uma vulnerabilidade.

Ao adotar estratégias que reduzem as operações de cliques e priorizam a infraestrutura como código (IaC), você pode não apenas reduzir o risco de erro humano, mas também escalar para que sua equipe possa se concentrar no trabalho mais importante. Aproveitamos essa estratégia na Cloudflare e compartilhamos como usamos o Terraform para gerenciar a Cloudflare e melhorar continuamente a forma como você pode manter seus sistemas, ao mesmo tempo que reduzimos a complexidade e o risco de erro humano.



A cultura de segurança é parte de sua defesa

Fortalecer a conscientização sobre a segurança cibernética não é apenas uma precaução, é imperativo. Ao promover uma cultura na qual cada membro da equipe está ciente e ativamente envolvido nas práticas de segurança cibernética, construímos não apenas barreiras, mas também firewalls contra ameaças digitais.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.



Saiba mais sobre esse assunto

Para ajudar a criar uma forte cultura de segurança, informada sobre as ameaças mais recentes, obtenha o relatório Situação da segurança de aplicativos .

Autoria

Ranee Bray — @raneebray
Senior Cyber Security Strategy & Execution Director, Cloudflare

Jordan Lilly — @jordan-lilly
CSO Security Engagement, Office of CSO, Cloudflare



Principais conclusões

Após ler este artigo, você entenderá:

  • O papel da liderança na mudança de mentalidade e comportamento

  • Como criar uma conscientização de segurança em sua organização

  • Os benefícios de reduzir a complexidade em seu programa de segurança


Recursos relacionados


Receba um resumo mensal das informações mais populares da internet.