“Estamos seguros?” é uma das perguntas que você, CTO, pode ter ouvido de membros da sua empresa. Ou, quem sabe, “Quão seguros estamos?”. Se essas perguntas não fazem parte do seu roteiro ensaiado, você pode começar a se planejar para não cair na armadilha de um simples sim ou não.
“Sim” é uma armadilha porque não existe nenhum sistema no mundo que seja 100% seguro.
“Não” é uma armadilha porque podem se perguntar o que você está fazendo se não puder afirmar que a organização está segura.
Por isso, confira as dicas que separamos para que você possa defender e articular sua estratégia de segurança em um bom discurso!
# 1. Conte uma história
Seu trabalho é, em parte, contar uma história convincente para aliviar as preocupações sobre riscos e violações, além de promover a missão da organização. Como contador de histórias, você precisa definir a visão, os valores e a agenda do programa de cibersegurança da sua organização.
Responda essas perguntas para um bom roteiro.
Houve incidentes significativos que resultaram na formação ou evolução significativa do programa de segurança?
Como sua equipe tem se saído com os objetivos iniciais e a evolução do programa?
Existiram tentativas de violação que sua equipe barrou?
Para quais ameaças você acha que sua organização ainda não está preparada?
# 2. Crie contexto: o que estão protegendo?
Conte sua história com sua abordagem para combater invasores, envolva sua audiência nos perigos enfrentados.
Embora este exercício não deva se concentrar na criação de medo, incerteza e dúvida – ele deve oferecer uma visão realista do cenário atual de ameaças e, em seguida, mostre as métricas.
A descrição sobre quais dados a empresa possui, onde e como eram armazenados e como estavam sendo usados e transmitidos permite criar um contexto para melhorar radicalmente as práticas de segurança e criar recursos em um ritmo mais rápido.
# 3. Ligue os pontos.
A estratégia de segurança precisa estar conectada com os objetivos do negócio. Deixe isso sempre claro.
Se você conseguiu a aprovação necessária da equipe de segurança para um projeto internacional, mostre o resumo das iniciativas de segurança para mitigar quase todos os riscos, principalmente na segurança de software que envolve o lançamento.
Se você corrigiu os servidores. Mostre como a proteção dos servidores de middleware previnem os tipos de vulnerabilidades que resultaram na violação de dados em outra organização.
# 4. Relate eventos de segurança com calma.
Por último, ajude a construir a compreensão. A segurança precisa estar sempre em evolução, então compartilhe seus insights. Mas, acima de tudo, seja honesto e transparente: o risco de perdas é grande demais.
Deixe um comentário