CISO Voices: o CISO como contador de histórias — Parte 4
Recentemente, Jenny Radcliffe entrevistou Daniela Almeida para o podcast “Human Factor Security”. Daniela é formada em comunicações e estudos culturais e, portanto, sabe tudo sobre gente. Ela faz bom uso de suas qualificações como diretora de segurança da informação (CISO) da fintech holandesa Tinka. Afinal, o fator humano é vital para uma postura de segurança eficaz.
Veja a seguir um resumo das ideias de Daniela sobre cibersegurança centrada em pessoas, o legado da pandemia e a linguagem do CISO.
O risco cibernético traduzido em risco empresarial
Expressar o risco cibernético em uma linguagem compreensível para a comunidade empresarial mais ampla pode ser algo desafiador. Se uma organização quer crescer, avançar em uma outra direção ou tomar qualquer decisão significativa, cabe a nós mostrar a ela os riscos envolvidos e todas as consequências possíveis. Assim, a diretoria pode tomar uma decisão informada.
Porém, para trabalhar efetivamente com a diretoria, precisamos falar a mesma linguagem. Apelar para o medo não adianta. Se toda apresentação segue uma narrativa de que “estamos todos perdidos”, as pessoas param de prestar atenção. Em vez disso, precisamos associar o risco a consequências com as quais as pessoas se identifiquem.
Se uma empresa vende produtos on-line, fale das ameaças que podem afetar essa presença on-line. Concentre-se nos riscos que a empresa já enfrenta ou que provavelmente enfrentará e crie um perfil de ameaça. O mais importante é colocar-se no mesmo barco que a empresa. Entre em acordo quanto às prioridades para evitar pontos de vista excludentes de uma parte ou de outra.
Sobre o impacto duradouro da pandemia
A pandemia provavelmente deixou as pessoas mais alertas quanto à cibersegurança porque transportou os riscos do ambiente de trabalho para as residências. Golpes e fraudes, como os vinculados à COVID-19, são mais facilmente percebidos como uma intrusão quando acontecem no seu espaço seguro. Isso ressalta a necessidade de se proteger.
Porém, há um grau de incerteza conforme as pessoas voltam ao escritório. As pessoas podem se perguntar, “Eu preciso continuar tomando as mesmas precauções”? Some-se a isso o nível maior de criatividade e sofisticação demonstrado pelos criminosos cibernéticos durante a pandemia e a situação se torna bastante interessante. (Confira o relatório Human Factor de 2022 da Proofpoint para conhecer mais estatísticas sobre esse tipo de comportamento).
Nos últimos anos vimos um aumento em ataques de spear phishing. Os perpetradores de ameaças estão utilizando redes sociais e outras fontes para aumentar suas taxas de conversão. Tenho curiosidade quanto ao que o futuro nos reserva, com criminosos cibernéticos continuamente encontrando maneiras novas e inovadoras de visar pessoas.
Tudo se refere a pessoas
As organizações são compostas de pessoas. Sejam quais forem as configurações ou mecanismos de segurança em vigor, sempre há uma pessoa por trás deles.
Essa camada humana costuma ser vista como o elo mais fraco, mas eu acho que pode ser o mais forte. Quando você sabe quais erros constituem um risco, você pode combatê-los. E quando você faz com que as pessoas entendam como os perpetradores de ameaças atacam, é possível criar uma barreira ensinando aos usuários a serem proficientes na resposta.
Porém, para fazer isso precisamos investir em conscientização. Não apenas conscientização em geral, mas em um programa de treinamento para conscientização quanto à segurança que seja específico para determinadas ameaças, métodos de entrada, cargos e mais.
Precisamos também ter em mente que a ilusão do conhecimento é mais perigosa que a ignorância. Ao criar defesas eficazes, as equipes de TI e de cibersegurança precisam evitar o excesso de confiança em nossa compreensão das ameaças mais recentes e dos riscos que elas representam.
Quer ouvir mais opiniões de CISOs?
Visite “CISO Voices” para ouvir Daniela em suas próprias palavras e ter acesso a outros episódios. Os podcasts “Human Factor Security” de Jenny também contêm insights adicionais de especialistas em cibersegurança. E fique ligado no próximo episódio dessa série de podcasts, no qual Bridget Kenyon, da Thales, estará com Jenny para discutir tudo sobre cibersegurança — das coisas mais dramáticas às mais banais.
Central do CISO da Proofpoint
Visite nossa central do CISO para obter atualizações regulares sobre pesquisas, insights e recursos de cibersegurança, especificamente para a comunidade global de CISOs.