Como construir uma Cultura Colaborativa em Infosec
Nessa palestra, nosso CEO Edilson Osorio Junior mostra como construir uma cultura colaborativa de infosec, considerando as mudanças no perfil geracional e adaptando o modelo tradicional à cultura dos millenials
A área de Segurança da Informação sempre teve dificuldade em conseguir aderência às políticas de segurança de informação criadas e difundidas pela empresa.
Nessa palestra, nosso CEO Edilson Osorio Junior mostra como construir uma cultura colaborativa de infosec, considerando as mudanças no perfil geracional e adaptando o modelo tradicional à cultura dos millenials
Transcrição
normalmente eu chamar o edílson osóriojúniorele quer cientista da computaçãocoordenador de pesquisa da fgv direitosão paulo e fundador e presidente daoriginal mais seja muito bem vinda degilson[Aplausos]o pessoal boa tarde eu estou contratandoingrata aqui porque eu parecia um rioque está falando a gente falar de umacriação de uma cultura colaborativa desegurança da informação nas empresasquando a gente fala de segurança dainformação nas empresas e eu venho deixenós anos 90 trabalhou com segurança dainformaçãoa gente tem muito na base do controle enós criamos políticas essas políticasela sempre são meio que impostas top daonu a gente tem as áreas se leva os anoentão com as presenças foram criadaselas são meio que impostas e através detreinamento a gente espera que os nossosusuários executem aquilo que foidecididosó que quando a gente começa a entrarnovas eras geracionaisa gente tem que o controle não funcionamais nem começar a pensar em novasformas de trazer os nossos usuários paraa regra do jogo para a gente para asegurança da informação é e aí quando agente fala em geração z da que tem maisde 40 anosuma grande parte quem aqui não tem medodos milênios 123 que aconteceeles eram o pânico prazo a fazer asegurança da informação porque oaparente falta de comprometimento delesquase em que atrapalha tudo aquilo quevocê tem que implementar como políticaseja nas comunicações da empresa seja nouso das ferramentas ocarros pelo setor de segurança dainformação nas empresas que têm um siloanuncia solta ele deixou todo mundo empânico então rodando um pouquinho falouprimeiro que a cultura é uma diferençade cultura diz que aquilo que acontececom as pessoas são deixadas sozinhasquando você está de olho ela tá fazendouma coisa mas ela tem que ser capaz decontinuar fazendo a mesma coisa quandovocê não estiver monitorando e ainda umadefinição minha para a cultura onde euprocuro dizer que encontrou um conjuntode comportamentos orgânicos queacontecem de maneira natural quemrecorrente sem que o indivíduo conderidiretamente sobre elesentão a cultura ela tem que ser em aexata no dia a dia da pessoa e é umtrabalho inclusive tá atalho gestão desegurança da informação e incorporar acultura segurança da informação naspessoas onde ninguém quer saber desegurançaninguém quer saber de controle a últimavez quando caiu a ficha de controlehigiênico expor o espaço foi tentarfazer 11 um filme pacotes quando caíquefoi lançado o lápis usando 2000 quandoos pacotes comunicações picchu piacomeçaram a energia a partir daquelemomento caiu a ficha de que nós nãotemos mais controle sobre diversas enovas situações então que muda ocomportamento esse gráfico é beminteressante porque ele mostra quequanto maior a a motivação da pessoa masela ainda tem pouca habilidade o trincamesmo que aconteceu não tem sucessomas se com o passar do tempo essahabilidade for sendo maximizada sejaatravés de treinamentos conscientizaçõesplanos elaborados tá trazendo só pararega do planeta do jogo em umdeterminado momento quando vocênaquela ação ela acontece então esseacionador a gente costuma dizer que 30você precisa de três coisas ao mesmotempo você precisa de motivação vocêprecisa da habilidade e o assinadoracontecendo ao mesmo tempo para que umcomportamento x ocorra e é aí que asegurança da informação tem age porqueela tem que conseguir identificar omomento correto e tentar não controlarmas a agência e de repente você mitigaros problemas que vão acontecer algunspassos para a construção dessas novaspolíticas têm que tentar entender osmilênios onde estamos neste momento coma nova geração táeles não estão mais preocupados aliásestão mais preocupados com satisfaçãopessoaleles estão mais preocupados comtrabalhos que tenham algum tipo depropósito pra sua vida eu eles têm umsentimento de fantasma de um sentimentonovo de pertencimento ea última coisaque você consegue prender esse cara émeu dinheiroessa habilidade câncer acha que essarealidade que todos passam por aqui natroca de profissionais nas suas equipese aí grupo de uma troca muito recorrentede profissionais das equipes como o quevocê consegue garantir a qualidade econfiança aquele profissional que vocêse transparecer terceiros e não só aquimesmoentão passo para a implementação bomessa peça essa frase é do andré barrencelado do campo são paulo porque colocaessa frase que tentamos implementar umacultura colaborativavocê precisa de planejamento engajamentoem métricasa gente costuma muito a impor as coisaspara que elas sejam feitas só que agente não mede a área de segurança dainformação não sabe emitir na maiorparte das empresas assim como a gentefaz um marketing alinhado com o adwordse com outras campanhas onde a gente medeopus resultados a todo momento a gentetem sim que definir métricasmuito bem estipulados e saber exatamentequal o resultado que a gente desejaobter para a relação em específico entãobarris e ele costuma falar muito issoquando o google mapsela diz que só os pacientes com osresultados mas somos absolutamenteimpacientes com o progresso o resultadoele pode ter sido negativa naquelemomento mas se você tiver seguindo acartilha eo planejamento que vocêdefiniu e você sabe muito bem quais asmétricas que você quer atingirvocê tá o progresso possa ser muito maisvisível a ea gente precisa de progressoe um trabalho contínuoquando a gente fala em a colaboraçãoestão voltando lá por lloyd primeiracoisa assim como aconteceu colocou noprimeiro tópico conheça seu timeconheça sua empresa você tem que criarmeios de interação e participaçãoantigamente a gente punha a pessoa lheuma bolada e documentos assinava e pragente tava ótimo porque já tinha umagarantia que a pessoa assinou nessa horaa gente não está afinal tabu mas agoraela tem que colaborar na criação ela éco criadora das políticas e na suaprópria empresa de placas deconscientização e participação a todomomentotá bom seja uma influência e conecte seas pessoas normalmente poder o timesegurança da informação são o rostointeiro da empresatoninho não porque nós não somosinfluência nós temos que mudar a formacomo nós nos posicionamos da empresa eas pessoas têm que olhar pra nós eparticipar por isso temos de ser umespelho daquilo que nós queremos para aempresaisso é muito difícil tal pessoalmentepra gente que tem segurança dainformação laden quase duas décadas commas é bom reconhecer os avançospublicamente se as pessoas não queremmais dinheiro não querem presente temuma uma regradiz que os números são finitos e que sevocê apresentar essa sequência denúmeros por mais três vezes a pessoa nãosentia interesse ela quer maisentão todos os números e infinitos ela ésempre mais se você bonifica umaquantidade x de dinheiro ela vai querermaisagora quando ela tem reconhecimento econhecimento uma vez que são buscadaspela nova geraçãovocê consegue uma espécie deagradecimento da pessoa e trazendo elapara o jogo efetivamente o que vocêprecisa é fã não é beijo diz é que 5 aspessoas em segurança da informação elastêm vício muito grande eu falo por mima agente complica as coisasa gente não sabe usar a experiência agente quer trazer a pessoa puxousegurança da informação e devemos todospassar por um novo treinamento inclusiveem marketing para conseguir passar o quea gente precisa de uma maneira simples eque ela seja muito facilmente adotadapelo nosso público nosso público elasuma pessoa de dentro da nossa empresaconvencendo precisamos fazer as pessoaspara dentro do jogoas pessoas querem participar elas queremse sentir pertencente antes de algomaioré isso que as motiva hoje programas topdown impostos controles controle dasvezes excessivos muitas vezes nãofuncionam quando a gente fala degerações mais novasa gente precisa voltar dois passos paratrás entender qual a população com aqual estamos lidando neste momento e quehá programas onde as pessoas possamcriar colaborar participar se sentiremventa realmente engajadas como se fosseuma missão valores abusivos novos osmilênioseles prezam muito pelos valorestrabalhar quando a gente fala com essanova turma com pessoalbasicamente é isso aí você fala umacoisa tem dez segundoso snow dem ele falou na palestra delesobre bullying e que é muito difícilvocê gerencia a identidade baseada notime porque uma vez que você guardacoisas lá pra sempre as coisas ficamregistradas que você dizer como o juiznão é deus resolveu esse problema deidentidade conseguindo manter asinformações privadas em posse do própriousuário e só vai ter um monte deinformação analisando porque osobrigando[Aplausos]