Por Doug Fisher, Vice-presidente sénior e Diretor de Segurança, Lenovo

Software de última geração para monitorizar as suas redes, idealmente incluindo software com tecnologia de IA para identificar e repelir potenciais ataques assim que estes cheguem à sua rede, também é crucial. E deve insistir que apenas dispositivos aprovados com software de segurança atualizado tenham acesso à sua rede. Estes são fundamentos de segurança.

No entanto, o elemento mais importante para o proteger de ciberataques são as suas pessoas, e não apenas as suas equipas de segurança. Obviamente, quer pessoas experientes, talentosas e focadas nas suas equipas de segurança, garantindo que todas as proteções listadas acima estão em vigor e totalmente operacionais. Mas a verdade é que, para estar realmente seguro, precisa que cada pessoa da sua organização – das vendas às finanças, dos recursos humanos ao CEO – saiba qual é o seu papel em manter a sua organização segura. E, para isso, precisa de construir uma cultura de segurança forte.

O tema do Mês de Conscientização sobre Segurança Cibernética – “Faça parte do Cyber” – está alinhado com estes dois aspetos importantes de uma forte cibersegurança. 0A primeira é que todas as indústrias precisam de mais pessoas qualificadas e talentosas para considerar a cibersegurança como carreira. As ameaças de segurança continuam a crescer em volume e gravidade, e o mundo precisa de se concentrar e investir na construção e no crescimento de talento em cibersegurança. Mas eu diria que a segunda parte – que todos saibam como podem fazer parte do reforço da cibersegurança – é igualmente importante, e é aí que uma forte cultura de segurança entra em cena e é essencial.

O que é uma “cultura de segurança em primeiro lugar”?

O que quero dizer com uma forte cultura de segurança? Quero dizer uma organização em que pensar sobre segurança é tão rotineiro e intuitivo como pensar no custo financeiro de um projeto ou nos planos para a data de lançamento de um próximo produto. Tal como as organizações se focam na qualidade em todos os processos, também precisam de pensar na segurança da mesma forma. Pensar na segurança significa tudo, desde incorporar a segurança em cada novo produto até pensar duas vezes antes de abrir uma ligação num e-mail de uma fonte incerta, ou responder a um pedido de informação potencialmente confidencial por telefone ou nas redes sociais. Em suma, significa que a segurança está sempre na mente de todos.

Para colocar toda a gente focada na segurança, primeiro precisa do apoio dos mais altos níveis da sua organização.  Para a Lenovo, isso começou com o nosso CEO a criar a função de Diretor de Segurança e a torná-la parte do comité executivo da empresa, bem como a ter um reporte em linha pontilhada ao Conselho de Administração.  Esta estrutura de reporte dá ao CSO um enorme apoio, dando-me permissão para ter as conversas difíceis e tomar as medidas firmes necessárias para garantir que a segurança é sempre uma prioridade.

Esse elevado nível de apoio também permite a um CSO adotar uma abordagem holística à segurança. Especialmente em grandes organizações com múltiplas unidades de negócio e linhas de produtos, é muito fácil desenvolver uma abordagem compartimentada a uma vasta gama de questões empresariais, incluindo a segurança. No entanto, temos visto benefícios claros numa estrutura unificada – o que chamamos de abordagem One Lenovo – que reúne as equipas de segurança de toda a empresa. Reunimos líderes do Escritório do Diretor de Segurança da Informação, da segurança de produto, da segurança da cadeia de abastecimento e da segurança física para identificar sucessos e levantar questões que precisam de ser abordadas. Muitas vezes, encontramos áreas onde diferentes partes do negócio podem colaborar em soluções, alcançando também consenso sobre os principais desafios que a empresa precisa de enfrentar. Essa abordagem é especialmente útil quando se pedem os recursos necessários para resolver questões de segurança.

É também por isso que o CSO precisa de criar uma parceria forte com os outros líderes seniores em toda a organização, porque nenhum CSO o consegue fazer sozinho. Esta parceria precisa de ser baseada na compreensão partilhada de que os clientes esperam fortes proteções para os seus dados e privacidade, e qualquer falha em fazê-lo arrisca causar danos de longo prazo à reputação e à marca da organização, bem como aos ativos financeiros e aos prejuízos nas pontuações ESG da empresa. Tendo isto em conta, o CSO é responsável por identificar os riscos de segurança e as potenciais soluções e, depois, trabalhar com a liderança sénior para acordar as soluções planeadas e encontrar os recursos para concluir esse plano.

A Segurança Forte Inclui Toda a Gente

Mas, depois de se alinhar com os seus líderes seniores e com as suas equipas de segurança, ainda tem mais de 90% da sua organização que também precisa de colocar a segurança em primeiro lugar. Como é que passam a fazer parte da cultura de segurança? A resposta é ajudá-los a compreender como podem ajudar e como uma segurança forte beneficia toda a gente.  E a melhor forma de transmitir esta informação é a formação. Dado o enorme volume de ataques na maioria das grandes empresas, os colaboradores acabarão por se encontrar na linha da frente, normalmente sob a forma de um ataque de phishing.  A sofisticação cada vez maior destes e-mails, alertas, mensagens de texto ou chamadas telefónicas fraudulentas significa que quase todos os dias um colaborador decide se clica numa ligação num e-mail bem disfarçado ou se, em vez disso, o denuncia.

A formação cumpre dois objetivos principais.  Primeiro, dá aos colaboradores as ferramentas para identificar ataques disfarçados de alertas ou saudações amigáveis e saber o que fazer.  Segundo, lembra aos colaboradores que devem estar vigilantes.

Temos formação obrigatória em toda a empresa todos os anos, e por obrigatória, quero dizer que ninguém está isento, especialmente os executivos seniores. E embora nenhuma formação seja perfeita, a nossa contribuiu certamente para um declínio significativo nos ataques bem-sucedidos e para um aumento dramático nos ataques que são identificados e comunicados às nossas equipas de segurança.

A segurança é certamente uma jornada, não um destino. Mas se conseguir construir uma cultura de segurança forte em toda a sua organização e comunicar que toda a gente – incluindo os altos executivos – tem um papel a desempenhar, ficará numa posição muito melhor para tornar essa jornada o mais tranquila possível.

Doug Fisher, Vice-presidente sénior e Diretor de Segurança, Lenovo