Cinco hábitos a que especialistas de segurança devem aderir

ara levar a segurança da informação a novas direções, os profissionais da área precisam parar de pensar diferente. Este foi o foco da discussão entre especialistas durante o painel “Cyber Security” no Congresso ISC (2), que está sendo realizado em Chicago (EUA), esta semana.

Sete líderes da indústria de TI participaram do debate que analisou as principais barreiras enfrentadas em segurança:  os profissionais continuam a cometer os mesmos erros e às vezes têm dificuldade de pensar em novas formas.

Confira cinco exemplos de maus hábitos que os profissionais de segurança precisam abandonar, de acordo com o que foi apontado pelos especialistas:

1 . Tratar a segurança de TI como algo que é separado do negócio

“Precisamos parar adotar a abordargem segurança como algo técnico que os usuários e os executivos não conseguem entender”, disse Spencer Wilcox, estrategista de segurança em Excelon. “Saiba vender aos executivos seu programa de segurança – gamifique-o e irá torná-lo interessante aos seus executivos e seus usuários “.

“Esteja ciente do que está acontecendo no nível do negócio”, afirmou Tony Vargas, líder técnico de engenharia da Cisco Systems. “Não se separe dele.”

2. Dizer “não”

“Muitas vezes, a segurança é vista como um obstáculo para o negócio, em vez de um facilitador”, destacou Vargas. “É preciso envolver as pessoas, torná-las parte da solução, ao invés de ver a segurança como algo que está no caminho. “

“Precisamos parar de dizer ‘não’ e começar a perguntar ‘por quê’ “, disse Erin Jacobs, sócio-fundador da Urbane Security . “Na maioria das vezes, quando os usuários tentam contornar a segurança, é porque eles estão apenas tentando fazer seu trabalho. Precisamos ajudá-los com o que estão fazendo, ao invés de dizer-lhes o que não podem fazer.”

3. Redirecionar o discurso

“Em conferências como esta temos pessoas de segurança falando de outras pessoas de segurança sobre como a segurança é importante”, observou Javvad Malik, analista de segurança da 451 Research. “Tornou-se uma espécie de câmara de eco. Temos que sair e conversar com as pessoas que realmente precisam compreender a mensagem.”

“O negócio tem seguido uma visão institucionalizada de gestão de risco por anos, e esta visão não inclui a segurança de TI”, observou Forrest Foster, arquiteto-chefe de segurança da Cisco. “Precisamos entrar nas escolas de negócios e falar sobre os riscos de segurança em TI”.

4. Unir segurança e compliance

“Muitos profissionais de segurança estão se afastando de fazer a segurança real e estão se preocumando mais om compliance”, acrescentou Malik . “Nós não precisamos de mais auditores.”

” Alguns profissionais de segurança se tornaram assessores de segurança e auditores”, comentou Jacobs. “O que é irônico é que muitos deles não são necessariamente qualificados para esse trabalho.”

5. Conscientizar estudantes e jovens profissionais

“Há uma terrível escassez de talentos em segurança da informação e isso prejudica a todos nós”, disse Dan Waddell, líder de solução para o setor público global da Grant Thornton. “Precisamos construir um pipeline com jovens que podemos contratar. “

“A mensagem sobre a segurança precisa ser iniciada nas escolas”, contribuiu James McQuiggan, membro da equipe de segurança da Siemens Energy. ” Qualquer pessoa com mais de 35 anos, hoje, é um imigrante digital. Aqueles que são mais jovens, que cresceram na internet, são os nativos digitais, por isso a conscientização sobre a segurança deve chega às pessoas mais cedo. “