Segurança e privacidade

Treine seus funcionários para pensar como um hacker

Marten Mickos
16 de março de 2018
hackers

As empresas que querem ajudar seus funcionários a se tornarem melhores guardiões da segurança cibernética precisam ir além dos treinamentos regulares em segurança de senha e outros protocolos básicos. A melhor maneira de treinar funcionários para se defender contra hackers é ensiná-los a pensar como um deles.

O primeiro passo é ficar esperto sobre o que realmente significa ser um “hacker”.

Comece deixando para trás tudo o que a indústria da mídia e do entretenimento lhe disse sobre hackers. Historicamente, a mídia envolve o termo em sensacionalismo, utilizando-o para designar cibercriminosos. Essa é uma visão estreita.

Por muitos motivos, hackers são os cidadãos-modelo da era digital. Eles são criativos, persistentes e engenhosos. Pensam em termos digitais, são curiosos e tentam descobrir como a tecnologia funciona. Veem todos os problemas como oportunidades. Defendem o que acreditam e querem que o mundo seja um lugar mais seguro.

Os hackers também sabem um bocado sobre os limites da tecnologia. Eles têm uma desconfiança saudável dos sistemas de informática e entendem que nenhum software é imune a bugs (e que, mesmo sem erros, o software ainda terá vulnerabilidades de segurança). Eles também sabem que embora computadores e software possam fazer o bem, eles também podem ser usados para fazer muito mal. Para eles, é evidente que o software sempre fará mais do que o planejado inicialmente, e, assim, ficam constantemente atentos às vulnerabilidades.

Para aqueles que nasceram antes da digitalização da sociedade (provavelmente a maioria da força de trabalho), esses conceitos podem parecer estranhos. Mas, para os hackers, é simplesmente a forma como o mundo funciona — e eles tem razão.

Por isso é tão importante hoje que as empresas comecem a cultivar internamente a mentalidade hacker. Não só ela pode mudar a forma como os funcionários veem e valorizam a segurança cibernética, o que leva a uma melhor segurança em toda a organização, mas também pode ajudar seus funcionários a se tornar mais curiosos e engenhosos — duas das habilidades mais valiosas em um futuro dominado pela inteligência artificial e automação.

A seguir, apresentamos algumas das maneiras pelas quais empresas de qualquer tamanho podem começar a ensinar seus funcionários a pensar como um hacker:

Hackathons e competições
Incentive os funcionários a participar de hackathons — mesmo que seja apenas para observar e aprender. Esses eventos são uma oportunidade de se afastar do trabalho do dia-a-dia por um momento e usar a criatividade para resolver algum tipo de problema — que é a própria definição de “hacking”.

Às vezes, esses eventos estão relacionados ao produto ou aos negócios da empresa, mas também podem focar algo completamente diferente. A ideia é fazer com que as pessoas mudem de marcha e exercitem seus músculos mentais de novas maneiras. Isso ajuda as equipes a evitar a visão estreita e o pensamento coletivo, e os faz pensar de forma mais criativa. Também torna todos mais atentos e curiosos sobre o mundo ao seu redor, que é o cerne da boa higiene cibernética.

Para uma aprendizagem mais prática de cibersegurança, organize competições e jogos em toda a empresa que incentivem os funcionários a descobrir como o cibercrime pode ocorrer. Você pode até ir além e simular um incidente cibernético fictício. Encenar um cenário de violação pode ajudar os funcionários, técnicos ou não, a se relacionar melhor com o risco organizacional e a inspirar um novo nível de consciência quando se trata de segurança cibernética.

Compartilhamento de ocorrências e informações
Quando algo importante acontece na empresa, incentive as equipes a compartilhar as descobertas e análises. Isso não quer dizer que todos precisem escrever relatórios de dez páginas — algumas anotações rápidas já é o suficiente. A ideia é condicionar sua força para que compartilhem informações e insights automaticamente.

Quando você quebra os silos que existem hoje entre as equipes de muitas empresas, isso ajuda a construir um senso de comunidade e um propósito comum, poderosas defesas quando se trata da segurança cibernética. Isso ajuda a criar uma força de trabalho mais vigilante e que terá maior probabilidade de detectar e responder a ameaças.

Isto é especialmente importante para as equipes de segurança. Quando há uma ocorrência, elas devem fazer conversar com um grupo mais amplo para checar o que aconteceu e como eles responderam. Se vulnerabilidades são encontradas e corrigidas, elas devem trabalhar com os arquitetos de software, designers e engenheiros para ajudá-los a evitar erros similares no futuro. Quando empresas são atingidas por grandes ataques cibernéticos (como WannaCry) ou vulnerabilidades (como Heartbleed), a equipe de segurança deve circular ativamente atualizações e informações em toda a empresa, além de promover seções abertas de P&Rs para os que querem saber mais.

Formação de equipes
Instrua os funcionários para que trabalhem em departamentos e equipes. Isso ajuda a melhorar a comunicação em toda a organização e também ajuda as equipes a resolver todos os tipos de desafios com uma perspectiva nova.

Mesmo que sua equipe de segurança seja a melhor em seu negócio, a realidade é que os humanos são falíveis. Quando as mesmas pessoas olham para a mesma base de código ou painel de controle todos os dias, é apenas uma questão de tempo até que algo importante passe desapercebido. É por isso que as empresas mais atentas à segurança buscam ajuda exterior, ou seja, convidando especialistas de segurança externos talentosos e confiáveis para ajudar a identificar as vulnerabilidades.

À medida que novos produtos e recursos são desenvolvidos, elas também mantêm uma coordenação estreita entre a segurança interna e as equipes de produtos. Embora algumas vulnerabilidades sejam causadas por deficiências no código, outras resultam da funcionalidades ocultas projetadas intencionalmente. Trazer a equipe de segurança cedo para o processo pode ajudar a descobrir e resolver esses problemas antes de se tornarem vulnerabilidades reais.

De olho no futuro, todos devemos aprender a pensar como hackers. Quando você adota uma mentalidade hacker, você não fica traumatizado por avanços rápidos na tecnologia de informática. Em vez disso, você os abraça e reconhece sua capacidade de tornar o mundo um lugar melhor e mais seguro. Isso não é apenas bom para a segurança — é bom também para os negócios.
———————————————————————————
Marten Mickos é CEO da HackerOne. Marten atuou como CEO da Eucalyptus, empresa de software em nuvem adquirida pela HP, onde atuou como SVP da divisão de nuvem. Antes disso, foi CEO da MySQL, empresa de banco de dados de código aberto adquirida pela Sun Microsystems. Na Sun, foi SVP da divisão de banco de dados.

Compartilhe nas redes sociais!

Posts Relacionados