Alinhamento da cibersegurança com as necessidades e requisitos empresariais

"A segurança é a nossa principal prioridade" é uma daquelas coisas que é como o nome verdadeiro de um demónio em Warhammer — se todos na organização soubessem e entendessem o que era, então poderias realmente ter cibersegurança eficaz.

Referências torturadas à parte, o ponto que estou a tentar fazer aqui é que alinhar a cibersegurança com as necessidades empresariais é provavelmente o principal requisito de uma cibersegurança eficaz que frequentemente falhamos em entregar. Isto é algo com que a maioria dos profissionais está intimamente familiarizada — e sobre o qual passam uma boa parte do tempo a reclamar online. Exemplos comuns:

• Executivos que não querem a MFA ativada para eles, e por vezes para as suas equipas
• "Não vou usar uma app de autenticação no meu telemóvel pessoal"
  • Muito bem, aqui está uma YubiKey.
    • Não quero usar esta pen USB, não fui treinado para usar MFA, desligue-o!

Eu poderia continuar. Claro, nós, pessoal de segurança, também somos culpados de tornar as coisas demasiado complexas para todos entenderem. As equipas de segurança (ou o único administrador a usar o chapéu de segurança esta manhã!) muitas vezes focam-se demasiado em "proteção completa" conforme a definem, causando fricção tanto com o negócio como com outras equipas de TI.

As empresas existem para fazer negócios. A segurança que atrasa o negócio de ganhar dinheiro vai ser lentamente posta de lado. Isto pode acontecer de várias formas discretas mas eficazes:

• Reduzir o orçamento, tornando impossível implementar algumas medidas de segurança
• Reduzir o âmbito das equipas de segurança, transferindo algumas responsabilidades para outras áreas de negócio.
• Aumentar o foco na conformidade, levando a segurança de caixa de seleção

Todas estas mudanças empresariais resultam numa postura de segurança que nem sempre protege a empresa.

Como evitar erros comuns e manter-se alinhado

Alinhar a cibersegurança com os objetivos empresariais é fundamental. A segurança tem todo o direito de fornecer guardrails que protejam um negócio — mas deve evitar tornar-se um guardião ou um obstáculo que atrasa a busca pelo crescimento empresarial. Nas grandes organizações, o sucesso nas implementações de segurança muitas vezes depende da construção de consenso e do estabelecimento de políticas claras antes de realizar testes e recolher feedback. É uma lição que ouvimos repetidamente na última década — e continua a ser verdade: a segurança nunca deve tornar-se um entrave à velocidade dos negócios. Isso significa trabalhar colaborativamente com equipas de desenvolvimento relutantes e outros intervenientes para alinhar os objetivos antes de aplicar controlos em práticas potencialmente arriscadas.

Depois de ter a segurança implementada, a capacidade de analisar o seu impacto em termos empresariais é uma capacidade crítica. Quer seja o CFO a perguntar sobre o RoI ou um líder de linha de negócios a tentar redirecionar o seu orçamento de licenças para a sua ferramenta preferida, ser capaz de quantificar o valor da sua solução implementada em termos monetários torna difícil contestar.

Publicar um relatório de valor regular — mensal ou trimestral — com base em registos e dados de tickets pode ajudar a traduzir vitórias técnicas em impacto nos negócios. Por exemplo, bloquear e-mails de phishing pode ser enquadrado como "horas de produtividade dos empregados poupadas."

Sim, exige esforço e pode não parecer trabalho de segurança direto—mas é essencial para demonstrar o seu valor para o negócio. Métricas como tempo de inatividade reduzido, violações evitadas e proteção da confiança na marca fazem a liderança parecer bem durante as revisões trimestrais de negócios (QBRs)—e elevam o seu papel a longo prazo.

A cibersegurança é vital para a sobrevivência das empresas. Não é apenas uma caixa de verificação de conformidade anual. Quando as equipas de segurança provam o seu retorno sobre o investimento (ROI), ganham influência—e investimento contínuo.