Por Doug Fisher, Vice-Presidente Sênior & Diretor de Segurança, Lenovo

Software de última geração para monitorar suas redes, idealmente incluindo software com inteligência artificial para identificar e repelir possíveis ataques assim que alcancem sua rede, também é crítico. E você deve insistir para que apenas dispositivos aprovados com software de segurança atualizado tenham acesso à sua rede. Estes são todos fundamentos de segurança.

No entanto, o elemento mais importante para protegê-lo de ataques cibernéticos são suas pessoas, e não apenas suas equipes de segurança. Obviamente, você quer pessoas experientes, talentosas e focadas em suas equipes de segurança, assegurando que todas as proteções listadas acima estejam em vigor e operando completamente. Mas a verdade é que, para estar realmente seguro, você precisa que cada pessoa em sua organização – desde vendas até finanças, recursos humanos e o CEO – conheça seu papel em manter sua organização segura. E para fazer isso, você precisa construir uma cultura de segurança forte.

O tema do Mês de Conscientização sobre Segurança Cibernética – “See Yourself in Cyber” – se alinha com esses dois aspectos importantes para uma forte segurança cibernética. A primeira é que todas as indústrias precisam de mais pessoas qualificadas e talentosas para considerar a segurança cibernética como uma carreira. As ameaças de segurança continuam a crescer tanto em volume quanto em severidade, e o mundo precisa focar e investir na construção e crescimento de talentos em segurança cibernética. Mas eu argumentaria que a segunda parte – que todos saibam como podem fazer parte do fortalecimento da segurança cibernética – é igualmente importante e onde uma cultura de segurança forte é essencial.

O que é uma “cultura de segurança em primeiro lugar”?

O que quero dizer com uma cultura de segurança forte? Quero dizer uma organização na qual pensar em segurança é tão rotineiro e inerente quanto pensar no custo financeiro de um projeto ou nos planos para a data de lançamento de um novo produto. Assim como as organizações focam na qualidade em cada processo, elas precisam pensar na segurança da mesma forma. Pensar em segurança significa tudo, desde incorporar segurança em cada novo produto até pensar duas vezes antes de abrir um link em um e-mail de uma fonte duvidosa, ou responder a uma solicitação de informações potencialmente confidenciais por telefone ou redes sociais. Em suma, significa que a segurança está sempre em primeiro plano para todos.

Para fazer todos focarem em segurança, primeiro você precisa de apoio dos mais altos níveis da sua organização. Para a Lenovo, isso começou com nosso CEO criando o cargo de Diretor de Segurança e tornando-o parte do comitê executivo da empresa, além de ter uma linha pontilhada de reporte ao Conselho de Administração. Essa estrutura de reporte dá ao CSO um tremendo apoio, me dando permissão para ter conversas difíceis e tomar ações fortes para garantir que a segurança é sempre uma prioridade.

Esse alto nível de apoio também permite que um CSO adote uma abordagem holística para a segurança. Especialmente em grandes organizações com múltiplas unidades de negócios e linhas de produtos, é muito fácil desenvolver uma abordagem isolada para uma ampla gama de questões empresariais, incluindo segurança. No entanto, vimos claros benefícios em uma estrutura unificada – o que chamamos de abordagem One Lenovo – que reúne as equipes de segurança em toda a empresa. Unimos líderes do Escritório de Segurança da Informação, segurança de produtos, segurança da cadeia de suprimentos e segurança física para identificar sucessos e levantar questões que precisam ser abordadas. Muitas vezes, encontramos lugares onde diferentes partes do negócio podem colaborar em soluções, enquanto também chegamos a um consenso sobre os principais desafios que a empresa precisa abordar. Essa abordagem é especialmente útil ao solicitar os recursos necessários para lidar com questões de segurança.

Isso também explica por que o CSO precisa criar uma parceria forte com os outros líderes seniores em toda a organização, porque nenhum CSO pode fazer isso sozinho. Essa parceria precisa ser baseada no entendimento compartilhado de que os clientes esperam fortes proteções para seus dados e privacidade, e qualquer falha em fazê-lo arrisca danos de longo prazo à reputação e imagem da organização, além das propriedades financeiras e danos às pontuações ESG da empresa. Dado isso, o CSO é responsável por identificar riscos de segurança e potenciais soluções, e então trabalhar com a liderança sênior para concordar com as soluções planejadas e encontrar os recursos para completar esse plano.

Forte Segurança Inclui Todos

Mas mesmo depois de alinhar com seus líderes seniores e suas equipes de segurança, você ainda tem mais de 90% da sua organização que também precisa colocar a segurança em primeiro lugar. Como eles se tornam parte da cultura de segurança? A resposta é ajudá-los a entender como podem ajudar e como uma forte segurança beneficia a todos. E a melhor forma de transmitir essa informação é através de treinamento. Dada a quantidade de ataques à maioria das grandes empresas, os funcionários eventualmente se encontrarão na linha de frente, geralmente na forma de um ataque de phishing. A sofisticação cada vez maior desses e-mails falsos, alertas sociais, mensagens de texto ou chamadas telefônicas significa que quase todos os dias um funcionário decide se clica ou não em um link de um e-mail bem disfarçado ou se o relata.

O treinamento atinge dois objetivos principais. Primeiro, ele dá aos funcionários as ferramentas para identificar ataques disfarçados como alertas amigáveis ou cumprimentos e saber o que fazer. Segundo, lembra os funcionários a serem vigilantes.

Temos um treinamento obrigatório em toda a empresa a cada ano, e por obrigatório, quero dizer que ninguém está isento, especialmente os executivos seniores. E embora nenhum treinamento seja perfeito, o nosso certamente contribuiu para um declínio significativo nos ataques bem-sucedidos e um aumento dramático nos ataques que são identificados e relatados para nossas equipes de segurança.

Segurança certamente é uma jornada, não um destino. Mas se você pode construir uma cultura de segurança forte em toda a sua organização e comunicar que todos – incluindo os executivos de topo – têm um papel a desempenhar, você se coloca em uma posição muito melhor para fazer essa jornada ser a mais tranquila possível.

Doug Fisher, Vice-Presidente Sênior & Diretor de Segurança, Lenovo