Um guia para CISOs criarem uma cultura de segurança cibernética proativa

Como metade dos outros americanos, pratiquei esportes competitivos no ensino médio e na faculdade. Basquete, softball, futebol, golfe, tudo que você imaginar, eu experimentei. Nunca tentei me tornar profissional, mas meu amor pelo jogo acabou me levando à empresa de esportes digitais Fanatics.

A Fanatics está em um período de expansão e hipercrescimento. Embora sejamos mais conhecidos por vender equipamentos esportivos licenciados, nossa missão é mais ampla: sermos a principal plataforma esportiva digital global. Por exemplo, oferecemos um marketplace para trocar de cartões e memorabilia e estamos criando a maior rede de eventos presenciais de fãs. Também estamos expandindo nossas apostas esportivas on-line e apostas em dinheiro real (para as quais supervisiono programas de segurança da informação).

Inovação constante significa estar pronto para responder a novas ameaças. Os fãs de esportes são cada vez mais alvos de cibercriminosos e 70% das organizações esportivas são atingidas por pelo menos um ataque por ano.

No entanto, a tecnologia sozinha não vai proteger a empresa. Todos, desde a fabricação até o desenvolvimento de aplicativos, devem praticar uma boa higiene cibernética e ajudar a manter a organização segura.

Em outras palavras, uma segurança cibernética forte é um esporte de equipe. Aqui estão três maneiras principais de trabalhar para obter sucesso na adesão de toda a organização.

Começar com uma mentalidade de “sim”

O gerente de beisebol do Hall of Fame, Tommy Lasorda, disse uma vez: “No beisebol e nos negócios, existem três tipos de pessoas. As que fazem acontecer, as que observam acontecer e as que se perguntam o que aconteceu.” Como líder, estou aqui para fazer com que o sucesso e a segurança da minha organização aconteçam.

Não vou ficar de braços cruzados, respondendo reativamente às ameaças enquanto a Fanatics expande nossos negócios proativamente.

Contribuir proativamente para o sucesso da empresa começa com uma mentalidade de "sim". Os profissionais de segurança costumam ser vistos como pontos de atrito secretos. Somos as pessoas que dizemos “não” com um mínimo de explicações. Ao fazer malabarismos com vários projetos, é mais fácil dizer aos outros: “Não. Use o que você já tem. Não temos recursos suficientes para fazer o que você está pedindo.” Infelizmente, receber um "não" é um grande motivo pelo qual a TI invisível, e cada vez mais as APIs ocultas e a IA oculta, estão generalizadas em muitas organizações. Receber um "não" também é o motivo pelo qual outras equipes podem ficar menos propensas a colaborar proativamente com a segurança.

Uma mentalidade de “sim”, no entanto, ajuda a fazer com que a segurança cibernética deixe de ser vista como um centro de custos e passe a ser vista como um facilitador de crescimento.

Aqui estão algumas maneiras pelas quais minha equipe coloca isso em prática:

1) Assumimos uma intenção positiva. Quando alguém quer tentar algo diferente, é importante presumir boas intenções e atender a pessoa onde quer que esteja. Por exemplo, imagine um cenário em que uma equipe de desenvolvimento de aplicativos adia repetidamente a correção de vulnerabilidades de segurança, citando prazos apertados e restrições de recursos:

• Sem presumir a intenção positiva, uma equipe de segurança da informação acredita que os desenvolvedores são descuidados com a segurança. Eles optam por escalar para a liderança imediatamente, sem antes tentar resolver o problema de forma colaborativa.

• Ao assumir a intenção positiva, a equipe de segurança da informação acredita que os desenvolvedores estão genuinamente priorizando as necessidades da empresa e desejam equilibrar a segurança em seus entregáveis. Abordamos a equipe de desenvolvimento com uma conversa como, “Entendemos que é fundamental que vocês cumpram seus prazos. Vamos colaborar para resolver as vulnerabilidades de segurança de forma a não comprometer seus cronogramas.”

A segunda abordagem promove colaboração e confiança, ao mesmo tempo que leva a uma solução que atende aos objetivos de segurança e da empresa.

No final das contas, tudo se resume a entender as pessoas: o que elas podem e não podem fazer com suas tecnologias atuais? A segurança cibernética pode acelerar seu trabalho? Vamos contar todas as maneiras pelas quais algo novo pode dar errado ou vamos pular com entusiasmo para tornar um festival de fãs de esportes imersivo e único seguro?

2) Feedback e críticas são bem-vindos. Se Simone Biles acha que seus treinadores são essenciais para atingir todo o seu potencial, nós também precisamos de feedback. Isso inclui ouvir com a mente aberta às reclamações dos outros. Se você quer que as iniciativas de segurança cibernética sejam reconhecidas por mais pessoas, então reconheça o feedback delas. Você aprenderá algo útil sobre as áreas de experiência de outras pessoas, e talvez até sobre si mesmo.

3) Trabalhamos para entender profundamente a estratégia da empresa. Se você deseja que a organização em geral leve a segurança a sério, mostre como você leva a sério as prioridades financeiras da empresa. Estou alerta para o que está no horizonte de produtos, vendas, engenharia, desenvolvimento e outras divisões. Quando a Fanatics começou a planejar o lançamento de serviços de apostas esportivas após a aquisição da empresa PointsBet nos EUA, rapidamente me familiarizei com as implicações comerciais e de conformidade e mudei o foco da minha equipe de acordo.

Alimentar a confiança por meio da transparência

Para incutir a importância das práticas de segurança cibernética, é importante ser transparente sobre as vulnerabilidades e pontos fortes cibernéticos. O conceito de "segurança através da obscuridade", ofuscando vulnerabilidades e detalhes dos mecanismos de segurança, não é novo. No entanto, acredito que muitos líderes de segurança tendem a levar isso longe demais, especialmente quando se trata de comunicação interna.

Vejamos a ameaça dos ataques DDoS, que estão sempre presentes, mas podem atingir o pico durante grandes promoções ou eventos esportivos. Não espero que outras equipes saibam a diferença entre um ataque de inundação HTTP POST e um ataque de inundação HTTP GET, mas considero importante educá-las sobre as principais tendências: Os ataques tendem a acontecer em determinadas épocas do ano? De onde eles se originam? Eles vem de concorrentes ou criminosos? Quais serviços estão sendo visados? Quantos ataques impedimos?

Dados e transparência ajudam a promover um suporte multifuncional para nossos investimentos em segurança cibernética (que incluem a proteção contra DDoS da Cloudflare, gerenciamento de bots, balanceamento de carga e outros serviços de aplicativos da Cloudflare). A comunicação regular baseada em métricas também reforça como a segurança alimenta o crescimento da empresa.

Em ambientes de trabalho, é natural que as pessoas se preocupem apenas com coisas diretamente relacionadas ao seu trabalho. A equipe responsável pelas promoções da Cyber Monday pode não se preocupar com nossos fornecedores de segurança, mas está profundamente preocupada com o desempenho e as vendas do site. Se eles entenderem a ligação entre a minha função (defender a nossa presença digital) e a deles (alcançar clientes on-line), então é provável que adotem práticas seguras.

Comprometer-se com a inclusão e ser você mesmo

A escassez global de talentos em segurança cibernética é tão grave que a Gartner prevê que, até 2025, "a falta de talentos ou falhas humanas serão responsáveis por mais da metade dos incidentes cibernéticos significativos".

Embora existam inúmeras razões para a escassez, para atrair mais contratações, devemos fazer mais para dar as boas-vindas a talentos diversos e não tradicionais. Como o ISC2 observou no Cyber security Workforce Study de 2024, “Com a crescente lacuna de talentos, as equipes cibernéticas devem procurar todas as formações para preencher as lacunas”.

Sou muito claro com nossos recrutadores sobre como manter um pipeline sólido de diversos candidatos. Todos merecem a mesma chance com base em suas competências, não em seu diploma. Por exemplo, sou um grande defensor do recrutamento no campus em uma ampla variedade de faculdades e universidades.

Sempre que posso, também me coloco à disposição para eventos de recrutamento externos, orientando recém-formados e incentivando outras mulheres a considerar uma carreira em tecnologia esportiva. Por exemplo, participar da Grace Hopper Celebration foi uma experiência inspiradora, principalmente devido à diversidade de talentos representados. Foi incrível ouvir tantas histórias de participantes que entraram no campo da tecnologia sem experiência técnica. Um ponto comum em suas jornadas foi a presença de um defensor, alguém que viu seu potencial, os incentivou a explorar a tecnologia e apoiou. Esses defensores desempenharam um papel fundamental ao ajudar os indivíduos na transição para a tecnologia, geralmente em vários estágios de suas carreiras, provando que paixão e determinação podem levar ao sucesso em qualquer idade.

Além de diversificar o pool de candidatos, você também deve reter os talentos depois que eles forem contratados. Vários estudos mostraram que a autenticidade e a liderança autêntica estão ligadas a uma maior satisfação no trabalho e à redução da rotatividade. Infelizmente, mais de um terço (36%) das mulheres no setor de segurança cibernética ainda sentem que não conseguem ser autênticas no trabalho.

Procuro incentivar as outras pessoas a mostrarem quem realmente são:

• Compartilhando genuinamente toda a minha identidade

• Mantendo-me curioso e fazendo muitas, muitas perguntas

• Abrindo espaço para demonstrar nossos altos e baixos

• Solicitando feedback sem censura

• Destacando consistentemente as conquistas dos outros

Ninguém deve se sentir desconfortável sendo ele mesmo no trabalho. É por isso que é tão importante trazer todo o meu ser para o trabalho todos os dias.

A segurança cibernética proativa começa no topo

Permanecer autêntico, manter uma mentalidade de “sim” e manter a transparência ajudou a promover os fortes relacionamentos que temos com nosso CFO, CTO, e outros executivos da Fanatics. Nossa organização tem a sorte de ter muitos líderes que percebem o valor da segurança.

Essa cultura de segurança cibernética de cima para baixo é mais essencial do que nunca. Por exemplo, como todos os setores estão entrando em uma nova era de experiências de clientes orientadas por IA e de ameaças geradas por IA, a chave para fazer "certo" será um alinhamento rígido entre política e tecnologia.

Em última análise, quando uma organização opera de forma segura com menos atrito interno, todos ficam mais livres para se concentrarem nas atividades principais. Quem não gostaria disso?

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Saiba mais sobre esse assunto

Saiba mais sobre como gerenciar os principais riscos de segurança cibernética do setor em Práticas recomendadas de segurança cibernética para empresas on-line de jogos e apostas.

Autoria

Ami Dave
CISO, Fanatics

Principais conclusões

Após ler este artigo, você entenderá:

• Tendências de ataques de segurança cibernética em aplicativos digitais de esportes e de apostas on-line

• Três recomendações para alimentar uma cultura de segurança cibernética proativa

• Como posicionar a função de segurança como um facilitador de negócios

Recursos relacionados

• Práticas recomendadas de segurança cibernética para empresas de jogos on-line e de iGaming

• Cinco maneiras de criar uma equipe de segurança cibernética de sucesso

• Navegar na localização de dados e na conformidade