A segurança evoluiu da responsabilidade exclusiva de uma equipa para passar a ser uma preocupação da organização como um todo. É imperativo que se torne parte integrante da cultura de uma organização, onde cada funcionário adota a segurança e usa-a como referência nos comportamentos, nas novas tecnologias e na tomada de decisões.
No fim de contas, uma abordagem otimista e proativa é vital para construir uma organização onde a segurança permita à empresa mover-se de forma mais rápida e, acima de tudo, mais segura.
Criar uma cultura de segurança é sem dúvida o futuro, mas como é que esse conceito se materializa na prática e como é que as organizações podem garantir que estão a seguir orientações eficazes, que permitam manter-se no caminho certo? O que é possível fazer já para promover uma cultura de segurança positiva no futuro?
O que é uma cultura de segurança?
Uma cultura de segurança positiva é aquela em que a equipa de segurança trabalha de forma colaborativa com os restantes elementos da empresa. Assumindo que as pessoas querem seguir o caminho certo, devemos tornar a opção segura, a opção mais fácil. E isso vai muito além da tecnologia, diz respeito às pessoas que a utilizam e à cultura da organização.
Tradicionalmente, as organizações tratavam a segurança como um verdadeiro portão ou algo que era trancado e guardado no final de cada projeto. Era exclusiva responsabilidade das pessoas que tinham a palavra "segurança" no cargo. Hoje em dia esta abordagem alterou-se, as empresas de maior sucesso pensam em segurança e resiliência de forma positiva, como algo fundamental para a cultura de uma empresa e como uma preocupação de todos executivos, diretores e funcionários. Só assim é possível garantir que a segurança se torna parte integrante de todos processos diários, possibilitando às empresas serem mais resilientes e melhorarem a capacidade de resposta face a um problema.
Princípios orientadores
Para criar uma cultura de segurança, as empresas devem ter em conta estes cinco princípios-chave:
1. Educação: mais do que nunca é fundamental manter os colaboradores a par das tecnologias disponíveis, procurando conselhos de especialistas em segurança e trabalhando para dar a entender as políticas e regras de segurança.
Essa política de educação vai permitir que cada um dos colaboradores seja a primeira linha de defesa na pirâmide de segurança, reduzindo a margem para que erros simples se possam tornar num problema maior de segurança. É também crucial definir expectativas de segurança para a empresa, seja através da configuração de segurança que deve ser implementada por developers de apps ou das responsabilidades de patching dos proprietários de produtos.
2. Higiene: uma boa "higiene" de segurança é vital para evitar que erros básicos se transformem em ameaças. Como tal, os funcionários devem compreender os perigos de práticas de segurança inadequadas, a mais habitual é a partilha de contas e passwords.
Ao mesmo tempo, as empresas precisam garantir que os sistemas de acesso que possuem facilitam essas mesmas práticas seguras. Por exemplo, os serviços da Amazon Web Services oferecem credenciais temporárias que podem estar ativas por minutos ou horas, deixando de permitir o acesso ao sistema após esse tempo previamente definido. Esta solução permite aumentar o controlo sobre o acesso ao serviço e reduzir a probabilidade de disseminação não intencional de dados sensíveis de negócio.
3. Aprender com os erros sem culpar: haverá sempre problemas com os humanos e os softwares que eles próprios criaram. O importante nestes casos é aprender com os erros e agir. Uma cultura organizacional em que a análise da raiz do problema é feita de forma objetiva e sem culpas contribui para aumentar a capacidade de aprendizagem de uma organização.
Não vale a pena perguntar se a pessoa cometeu um erro, mas sim o que poderia ser feito para garantir que esse erro não se volta a repetir no futuro. É importante que a empresa incentive os colaboradores a estarem à vontade para falar de questões de segurança e que sintam o apoio incondicional da equipa.
4. Conhecer os outros colaboradores e o que fazem: trabalhar de forma colaborativa com os developers vai ajudar os responsáveis de segurança a entender os processos pelos quais eles passam para construir e lançar softwares. Essa partilha vai permitir aos responsáveis de segurança ajudar os developers a fazerem melhores escolhas.
Por exemplo, integrar a plataforma de cloud diretamente no website corporativo, garantindo que os developers podem criar permissões dentro de limites autorizados, ajuda a remover a segurança como um "portão". Verificações automatizadas executadas em pipelines podem dar feedback inicial aos developers para ajudá-los a alcançar o nível de segurança desejado.
5. Métricas e monitorização: ser capaz de medir a atitude face à segurança e dar às pessoas acesso aos dados são boas formas de revelar e entender como é que a segurança é vista dentro da empresa. Se nesta análise forem identificadas equipas com excelente desempenho ou que estejam a criar soluções inovadoras, essas boas práticas poderão ser alargadas ao resto da organização.
Dizer aos colaboradores que estão a ser avaliados e dar-lhes ferramentas próprias para medir o nível de segurança pode ter um efeito positivo e reforçar a abordagem à segurança.
Uma cultura de segurança vai invariavelmente melhorar a atitude de segurança de uma organização, tornando-se a estrutura através da qual todos os funcionários se regem, desenvolvem tecnologia e tomam decisões. No entanto, para que esta seja um sucesso, as empresas têm de adotar uma abordagem estruturada. Uma cultura de segurança baseia-se em educação, higiene, contenção de ameaças e, acima de tudo, no princípio de que todos os colaboradores trabalham juntos, como uma equipa, em prol de um bem maior.
Carlos Sanchiz, Solutions Architect, Amazon Web Services