Uma estratégia de segurança de uma empresa deve ser como a previsão do tempo: sujeita a atualizações frequentes. Permitir que a estratégia de segurança saia de sincronia com as ameaças do cenário atual e ameaças emergentes pode abrir a porta para catástrofes financeiras e de reputação.

Muitos elementos contribuem para uma estratégia de segurança compreensiva, assim como muitos fatores podem quebrar essa estratégia ou torná-la ultrapassada. Empresas que não mantenham um bom acompanhamento em eventos, automação dos processos, revisão de ciclos e conhecimento técnico vão ter problemas com sua estratégia.

 

Indicadores de uma Estratégia de Segurança Ineficiente

As melhores estratégias são claras, relevantes e facilmente entendíveis por outros setores da empresa. Quando a sua própria equipe não consegue rapidamente explicar a estratégia em curso, ou quando outros setores têm dificuldade em entender o que a segurança vai fazer como próximos passos, você tem alertas de ineficiência.

Outro indicador de um plano defasado é a relevância. A segurança deve estar de encontro com os objetivos do negócio, se não existe esse alinhamento, a segurança deixa de ter importância para a empresa.

Um ponto que indica um plano ineficiente é que ele é totalmente dirigido por compliance. O compliance pode ser um componente importante e necessário para o plano, mas não deve ser o principal ponto, mesmo em empresas menores e com menos recursos.

Um plano de segurança falho geralmente pode ser identificado como falho com um pouco de pesquisa e conversas internas, que tendem a mostrar problemas de gestão da segurança, documentação ruim e dificuldade em ter uma segurança holística.

Por fim, um indicador clássico de uma estratégia problemática é a equipe de segurança que atua como bombeiro. A equipe fica frequentemente indo de um incêndio a outro, sempre reativamente, com muita dificuldade em se organizar proativamente e de forma mais inteligente contra as ameaças.

 

Alinhe a Estratégia de Segurança com o risco

Qualquer reconstrução da estratégia de segurança deve ser arquitetada para acompanhar a previsão de riscos para a empresa. Existem vários fatores que podem causar a mudança do risco e a tolerância ao risco de uma empresa, então é importante que os gestores de cybersecurity entendam esses fatores e ajustem a sua estratégia.

Fatores que são particularmente relevantes para a cybersecurity incluem mudanças no modelo de negócios, tecnologias ou ambiente de ameaças. Quando um ou mais desses fatores mudam, e a estratégia não se antecipou a essas mudanças, ela passa a ficar defasada e necessita atualizações.

 

Planejamento e preparação para o reboot da estratégia de segurança

Identificar quais estratégias e táticas estão funcionando e quais estão dando errado é o primeiro passo para essa reconstrução. O processo continua com a identificação dos atuais planos e objetivos da empresa e a determinação de como a nova estratégia de segurança vai atingir esses objetivos.

A iniciativa de reboot na estratégia de segurança deve ser alinhada com as outras equipes do negócio, não apenas TI. Hoje, todas as lideranças de outras áreas do negócio tomam decisões e vão implementar projetos que possuem impacto na segurança. É preciso, em parceria com essas outras áreas, entender como elas trabalham, quais são as necessidades e como se dá o impacto ao negócio, para aí alinhar a nova estratégia de segurança.

Um bom reboot também deve reorganizar a estratégia de segurança em diferentes níveis: operacional, tático e estratégico. Para que isso aconteça é preciso que o líder faça com que as pessoas façam parte desse processo. Entenda a visão e as necessidades desde os analistas júnior até os coordenadores, cada uma dessas partes vai oferecer diferentes visões e desafios, ajudando a montar o quebra-cabeça final.

 

Vendendo a atualização da estratégia de segurança para os stakeholders

Uma forma popular de vender um reboot para a gestão da empresa é mostrar como a estratégia vai posicionar a empresa para aumentar o faturamento ou qualificar novas oportunidades de faturamento. Quando uma segurança forte é apresentada como um método, uma vantagem competitiva, ela se torna uma facilitadora de vendas ao invés de mais um custo de overhead.

Além disso, é importante mostrar para a liderança dados relevantes e verificáveis. Neste momento, a aliança com as outras áreas do negócio vai trazer diversos insights em como e quais dados devem ser apresentados, de forma a mobilizar o C-Level a comprar a nova estratégia de segurança.

A percepção sobre a nova estratégia também é melhor quando ela é apresentada em linha com os objetivos do negócio, sendo um facilitador desses objetivos. O gestor de segurança deve mostrar como a segurança provê tranquilidade para o usuário final, criando resultados positivos. Por fim, não massacre o C-Level com jargões e termos técnicos, fale a linguagem do negócio, apresente informações fáceis de serem entendidas.