À medida que as ameaças à segurança cibernética continuam aumentando, também aumentam os ataques ligados a "erro humano". Há uma razão pela qual as "Pessoas" vêm em primeiro lugar na base de Pessoas, Processos e Tecnologia de uma estratégia de segurança sólida. Quando sua força de trabalho entende a segurança cibernética e o papel que desempenham nela, eles se tornam sua primeira linha de defesa para proteger a organização e reduzir os riscos.
A cultura não é um cartaz na parede. Ela está presente na forma como as equipes se envolvem e nos comportamentos que são recompensados.
A cultura de segurança começa no topo de uma organização, com sua liderança. Ela se faz notar em três maneiras: priorização, comunicação e liderança pelo exemplo.
Uma cultura que promove uma estratégia de defesa proativa capacita os funcionários a detectar e relatar riscos. Usamos um mecanismo de denúncia simples, mas eficaz, para relatar qualquer coisa suspeita para que nossa equipe de resposta a incidentes de segurança (SIRT) investigue. Incentivamos e defendemos as pessoas que enviam mais relatórios de incidentes de segurança mensalmente. Compartilhamos incidentes para construir uma comunidade que compartilha uma missão de proteger e defender. Nossos líderes mais experientes dão o exemplo e também relatam qualquer coisa suspeita.
A transparência na forma como nos comunicamos e priorizamos a segurança é claramente articulada pela liderança da Cloudflare. Você clicou acidentalmente no link de phishing ou deixou o notebook desprotegido? Nossas equipes são incentivadas a se autoavaliar, sabendo que não serão penalizadas por um erro. Isso promove uma cultura na qual fazemos a coisa certa para mitigar erros.
Mesmo em uma empresa de segurança como a Cloudflare, nem todos são especialistas em segurança cibernética. Mesmo aqueles com um histórico cibernético mais consistente terão dificuldade para acompanhar a evolução dos vetores de ataque.
Compartilhar histórias sobre como nosso trabalho impede os ataques de segurança cibernética mantém nossas equipes conscientes e vigilantes. Compartilhar esses insights não apenas celebra nossas vitórias, mas também nos ajuda a aprender com cada incidente, transformando as batalhas diárias em lições que fortalecem nossas defesas. Essa prática promove uma cultura de aprendizado e preparação contínuos, garantindo que cada membro da equipe, desde o recém-chegado ao especialista experiente, entenda a natureza dinâmica das ameaças.
Recentemente, tivemos um incidente em que nossos funcionários foram visados por meio de contas pessoais de mídia social. Eles entenderam o risco e sabiam da importância de notificar nossa equipe SIRT. A resposta rápida de nossa força de trabalho nos permitiu compartilhar o incidente com a equipe para aumentar a conscientização, investigar e deter o invasor por meio de uma parceria com o provedor de mídia social.
Ter uma forte cultura de segurança e maior conscientização é um ótimo começo. Mas é igualmente crucial que cada membro de sua organização entenda o seu papel específico na manutenção de uma postura de segurança forte.
Comece estabelecendo políticas de segurança cibernética claras e compreensíveis. Certifique-se de que essas diretrizes não sejam apenas teóricas; elas precisam explicar o "como" e o "por quê", tornando-as acion áveis. Mantenha essas políticas acessíveis e atualize-as anualmente para refletir as novas ameaças e mudanças na tecnologia, reforçando o dever de todos de cumpri-las.
Capacite sua organização com o conhecimento de ações imediatas: como relatar uma violação de política, reconhecer tentativas de phishing e engenharia social, lidar com violações de segurança físicas como tailgating no escritório ou detectar sistemas configurados incorretamente.
Embora o treinamento anual sobre segurança cibernética e conscientização sobre privacidade defina uma base sólida, vá além disso integrando treinamento de segurança específico para a função. Essa abordagem incorpora medidas de segurança em todas as facetas de seus processos organizacionais, garantindo que a segurança não seja apenas uma política, mas uma prática incorporada à estrutura diária de suas operações.
Uma grande carga que recai sobre as equipes de segurança em todas as organizações é a complexidade.
Quanto mais complexos forem os seus sistemas, maior a probabilidade de ocorrer um erro. As configurações incorretas são um risco significativo que os invasores podem explorar. Confiar, mas verificar é um clichê de segurança da velha guarda que resiste ao teste do tempo. É imperativo que suas equipes validem a eficácia das configurações e da implementação de controles para garantir que um erro humano não crie uma vulnerabilidade.
Ao adotar estratégias que reduzem as operações de cliques e priorizam a infraestrutura como código (IaC), você pode não apenas reduzir o risco de erro humano, mas também escalar para que sua equipe possa se concentrar no trabalho mais importante. Aproveitamos essa estratégia na Cloudflare e compartilhamos como usamos o Terraform para gerenciar a Cloudflare e melhorar continuamente a forma como você pode manter seus sistemas, ao mesmo tempo que reduzimos a complexidade e o risco de erro humano.
Fortalecer a conscientização sobre a segurança cibernética não é apenas uma precaução, é imperativo. Ao promover uma cultura na qual cada membro da equipe está ciente e ativamente envolvido nas práticas de segurança cibernética, construímos não apenas barreiras, mas também firewalls contra ameaças digitais.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Para ajudar a criar uma forte cultura de segurança, informada sobre as ameaças mais recentes, obtenha o relatório Situação da segurança de aplicativos .
Ranee Bray — @raneebray
Senior Cyber Security Strategy & Execution Director, Cloudflare
Jordan Lilly — @jordan-lilly
CSO Security Engagement, Office of CSO, Cloudflare
Após ler este artigo, você entenderá:
O papel da liderança na mudança de mentalidade e comportamento
Como criar uma conscientização de segurança em sua organização
Os benefícios de reduzir a complexidade em seu programa de segurança