Como engajar times além da TI para reforçar estratégias de cibersegurança

21 de abril de 2023 tutoriaisweb

Pelo quarto ano seguido, a segurança de dados do ambiente de TI foi o principal desafio identificado por líderes participantes do estudo ‘Antes da TI, a Estratégia’, elaborado anualmente pela IT Mídia. Principalmente após a chegada da Lei Geral de Proteção de Dados (LGPD), o tema passou ao protagonismo da agenda de TI. Hoje, 61% das companhias já têm um orçamento próprio de cibersegurança, também segundo a pesquisa.

Não é surpresa, portanto, que o painel ‘Como proteger a nuvem – desafios da segurança digital’, realizado nesta sexta-feira (21), durante o IT Forum Trancoso, tenha sido repleto de histórias de horror compartilhadas pelos líderes de TI participantes. Do debate entre painelistas e convidados, no entanto, algumas reflexões surgiram, orientando melhores práticas para a proteção de dados na nuvem.

“Migrar para a nuvem não garante segurança”, contou Sylvia Sanchez, ex-IT Senior Manager da Novelis. “Depois da migração nós tivemos uma suspeita de ataque. Parte-se da premissa que a nuvem oferece mais segurança, por ser um ambiente estruturado, mas tem outros fatores que têm que andar juntos.”

Pela primeira vez neste ano, o levantamento ‘Antes da TI, a Estratégia’ mostrou que a nuvem pública como o principal modelo de infraestrutura adotado pelas empresas respondentes. No total, 68% dos executivos participantes apontaram algum uso da tecnologia, o que representou um aumento percentual de 4 pontos. Com isso, a nuvem pública já ultrapassou a modalidade de infraestrutura dos data centers on-premises. Com isso, se expandem as preocupações com a cibersegurança na nuvem.

Para Carlos Carvalho, diretor de engenharia do Banco Neon, pensar na segurança no nível das aplicações é fator chave nessa dinâmica – algo que foi essencial para a empresa nativa digital e da nuvem. “Como eu pego soluções de segurança e coloco na esteira? Como eu consigo lançar uma aplicação de forma mais segura?”, ponderou.

Conforme contou o executivo, o Banco Neon virou unicórnio no começo de 2022. Desde então, viu o volume de ataques disparar ataques. “É uma luta difícil, eu tenho um time de segurança de 30 pessoas e são milhares tentando invadir seus sistemas”, contou. Uma das soluções encontradas foi a promoção de um programa de “security chain”, envolvendo a capacitação de engenheiros de diversas áreas de negócio para promover a cultura de segurança entre todas as divisões.

Isso aponta para um dos caminhos essenciais na promoção da cibersegurança: o engajamento de pessoas. “Na Novelis, foi adotada uma estratégia de segurança junto à Comunicação e ao RH para treinamentos de phishing”, contou Sylvia. “Mas o treinamento também é um desafio. As pessoas vão sempre priorizar demandas da sua própria área ao invés de um treinamento.”

Diretor de tecnologia da Tigre, Acursio Maia Filho, também compartilhou a importância de trabalhar junto às pessoas após uma experiência de sua própria equipe com um ataque sofrido. “O que a gente percebeu como um fator diferencial após algumas semanas analisando foi a forma como a gente trata falhas do time”, disse. “A gente tem que fugir do lugar comum de arrumar um culpado, um fornecedor terceiro, um colaborador”.

“Por mais que você invista em segurança e automatize as detecções, manter o fato humano coerente e consciente, explicando a anatomia de um ataque, dando o máximo de instrução possível, ajuda a evitar problemas futuros,” continuou.

Carvalho ecoou o ponto, lembrando de um dos exercícios de simulação de ataque que a Neon promoveu – resultando em um pânico generalizado entre colaboradores. “O nível de tensão na sala era muito alto, apesar de termos os procedimentos”, explicou. “Isso foi um grande aprendizado para as pessoas. Isso pode acontecer e nós temos os processos. Mas o fator humano, nós precisamos ajudar”, finalizou.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Você pode gostar também