A construção de uma cultura de segurança e gerenciamento de riscos

A Outpost24 bateu um papo com um cliente do Grupo CISO da ITV, Jaspal Jandu. Ele ofereceu uma visão prática dos desafios atuais de segurança cibernética, incluindo transformação digital, gerenciamento de vulnerabilidade, priorização de riscos e construção de uma cultura de segurança interna. 

A ITV é a maior emissora comercial do Reino Unido, fornecendo conteúdo para outros serviços de TV sob demanda, incluindo Netflix e Amazon Prime, com uma pegada digital global. Estar sempre ativo significa que a segurança está na vanguarda de seus negócios, e Jaspal e sua equipe são constantemente desafiados a equilibrar a segurança do dia a dia sem afetar a criatividade e as operações de streaming. Aqui estão as principais conclusões de nossa recente discussão com ele: 

 

  1. Você não pode comprar uma saída da segurança cibernética

Com mais de 20 anos de experiência em vários negócios de mídia, a Jaspal entende que o dinheiro da segurança nem sempre termina na pilha de tecnologia. 

 

“Comprar mais tecnologia não resolve o problema, é importante ter os recursos de segurança corretos no lugar certo, na hora certa e alinhados aos seus objetivos de negócios e maturidade de segurança ”. É impossível proteger tudo no cenário de ameaças em constante mudança, e usar mais tecnologia para resolver o problema não é a resposta. “Uma grande equipe de segurança pode muitas vezes criar mais divisões e silos dentro de uma organização, já que a equipe depende muito desse valioso recurso para garantir que a segurança esteja sempre coberta, sem considerar seu próprio comportamento.” 

 

É por isso que Jaspal tentou nutrir e mudar a cultura interna para garantir que toda a força de trabalho assuma a responsabilidade, entenda e considere a segurança em seu trabalho diário, o que, por sua vez, ajuda sua equipe a atingir seus objetivos de maximizar os investimentos em segurança e mitigar qualquer risco de ciber- ataque. Trazendo a empresa junto com sua jornada de segurança com uma voz e força combinadas contra os cibercriminosos que podem estar à espreita e esperando para atacar. 

  

  1. Segurança significa fazer escolhas difíceis e controlar o que você pode controlar

Como muitos líderes de segurança, Jaspal não tem um orçamento de segurança infinito e uma equipe de segurança qualificada disponível para implantar 24 horas por dia, 7 dias por semana, o que significa que eles podem ser estendidos em diferentes direções. Durante a pandemia e o trabalho remoto forçado, ele teve que aceitar algum nível de risco aumentado e fazer escolhas difíceis sobre como priorizar e proteger diferentes partes do negócio. 

 

Para Jaspal, a pandemia foi um momento de adaptação, priorização e controle do controlável. Compreendendo que quando os recursos são escassos e as ameaças são reais, ele sabia que deveria otimizar a eficiência de suas operações de segurança tanto quanto possível para a cobertura máxima. Jaspal e sua equipe se concentraram, portanto, em melhorar o programa de conscientização de segurança na ITV, puxando recursos de toda a empresa – seja colaborando com líderes de negócios seniores ou de dentro da equipe Jaspal. Eles usaram seu tempo com sabedoria para impulsionar a educação interna e a conscientização sobre segurança na ITV, utilizando sua natureza criativa e se envolvendo com a equipe para ajudá-los a aprender sobre segurança cibernética e como ela se relaciona com suas funções de trabalho. Sua equipe compartilha abertamente percepções de segurança, como relatórios de vulnerabilidade e perfis de risco em toda a empresa e trabalha com campeões de segurança para garantir que eles entendam como a segurança pode ajudar e facilitar projetos maiores, incluindo a adoção da nuvem e a transformação digital. 

 

Aproveitar o tempo e a oportunidade para fortalecer os conceitos básicos cibernéticos e o treinamento de conscientização de segurança do ITV ajudou a equipe a aprimorar suas habilidades sobre a melhor forma de lidar com problemas de segurança de forma proativa, sem custar nada além de tempo. Por sua vez, a recém-descoberta resiliência de segurança interna permite que sua equipe de segurança gaste menos tempo no combate a incêndios e mais tempo na implantação de recursos nas partes certas das unidades de negócios que mais precisam, o que os ajuda a gerenciar os riscos de forma mais eficaz, medindo mais abordagem. 

 

  

  1. Faça da segurança parte da transformação digital e o investimento virá

Para líderes de segurança como Jaspal, tem sido um desafio pesar os riscos durante a pandemia e encontrar o equilíbrio certo entre segurança e transformação digital quando se trata de investimento. “ É difícil dizer qual porcentagem do orçamento deve ser gasta em segurança, pois não leva em conta o nível de risco que você enfrenta como empresa, que pode ser diferente de uma organização para outra” . 

 

A transformação digital é fundamental para a ITV como empresa de mídia. Para garantir que ele possa apoiar os objetivos de transformação maiores, Jaspal se envolve com outras áreas da empresa para entender os riscos que estão enfrentando nas diferentes divisões e como podem gerenciar os riscos de segurança de forma centralizada e local, ajudando todos a compreender o impacto potencial de certos riscos e como mitigá-los. 

 

“ A solicitação (por orçamento / investimento) torna-se mais fácil se você puder incorporar segurança ao que a empresa está tentando fazer e mostrar valor ” Jaspal usa uma combinação de dados e avaliações de impacto alinhadas aos negócios para construir o caso de investimento certo. Freqüentemente, a segurança só é solicitada quando algo de ruim acontece, no entanto, ele foi capaz de criar uma abordagem mais proativa para a segurança implementando as mudanças culturais e demonstrando os resultados que isso traz para a empresa como um todo. O Jaspal continua a se basear em percepções de segurança e integração de negócios, o que ajuda a mostrar como os investimentos em segurança desempenham um papel fundamental no suporte e na obtenção de uma transformação digital de sucesso agora e no futuro. Jaspal reconhece que nem sempre acertou e é algo que continua a evoluir. 

  1. Segurança é um esporte de equipe, e romper com a ‘cultura do não’

“ Depois de ter todos os departamentos a bordo do ônibus de segurança, o resto se torna mais fácil e se ajusta .” Evidentemente, Jaspal tem controles de segurança no local que não são necessariamente gerenciados e orçados em sua equipe. Por exemplo, a equipe de rede não fica sob segurança, mas é crítica para executar e gerenciar firewalls. Portanto, é importante ter um diálogo constante com diferentes departamentos que não necessariamente se sentam juntos para garantir que estejam usando as melhores práticas de segurança, especialmente quando se trata de proteger a tecnologia baseada em nuvem e acompanhar a agilidade das equipes de desenvolvimento. 

 

“ O líder de segurança precisa trabalhar dentro do ecossistema da organização e garantir que a segurança esteja incorporada aos negócios e provar como a estratégia de segurança pode ajudar os negócios a atingir seus objetivos de negócios .” A chave é lidar com a shadow IT e se conectar ao negócio no momento e lugar certos, utilizando a avaliação do fornecedor e incorporando isso ao seu programa de conscientização de segurança. “ É importante que todos os funcionários tenham certeza de que a segurança está lá para apoiá-los (para não dizer não!) E como escalar os problemas de segurança por meio dos canais certos sem atrapalhar sua criatividade” . 

 

Jaspal aprendeu que compartilhar um PowerPoint ou vídeo sobre segurança e fazer algumas perguntas no final uma vez por ano por meio de treinamento obrigatório simplesmente não estava mudando comportamentos e cultura organizacional. No ITV, eles desenvolveram uma experiência de escape premiada, proporcionando uma experiência divertida e lúdica para envolver a equipe de todos os departamentos e usar diferentes conceitos de segurança para incutir esse aprendizado. 

 

Essa abordagem engajada tem ajudado a equipe do ITV a resolver desafios de segurança e realmente entender como isso pode ser aplicado a eles em suas funções. Durante a pandemia, isso foi direcionado para jogos e eventos de transmissão ao vivo online, incluindo demonstrações de hackers ao vivo e fazendo com que equipes bem conhecidas da ITV contassem suas próprias histórias. Esses são aprendizados essenciais para todos os colegas levarem de volta ao local de trabalho para ajudar a mudar os comportamentos e a cultura de segurança. 

Traduzido e adaptado de: https://bit.ly/35Npb0U