O chefe de segurança da Amazon diz que estas são as 6 perguntas que cada diretoria deve fazer ao seu CISO
O chefe de segurança da Amazon revela as 6 perguntas cruciais que toda diretoria deve fazer ao seu CISO
Curtir a SEC, Steve Schmidt, diretor de segurança da Amazon, não acredita que todos os conselhos corporativos precisam ter um diretor com profundo conhecimento em cibersegurança.
O ex-chefe de seção do FBI, que também passou 15 anos na AWS, acredita que, ao invés de entender como um plano de segurança funciona em um nível técnico, como um CISO faz, é mais importante que os líderes saibam examinar o pensamento por trás dele.
“O mundo da espionagem mudou do ponto de vista da implementação ao longo do tempo, mas os objetivos permaneceram os mesmos desde a Idade Média”, explica Schmidt. Isso significa que, mesmo que os membros do conselho não tenham habilidades técnicas, ainda podem estar “fazendo as perguntas certas”.
O plano de uma empresa demonstra que os líderes de segurança estão tentando prever os próximos movimentos de seus adversários, não apenas hoje, mas também daqui a vários anos? Ele mostra uma compreensão da psicologia de um ator mal-intencionado, sua tolerância ao risco e como seu nível de conforto pode mudar ao longo do tempo ou em resposta a eventos mundiais?
- O concorrente do PayPal, utilizado pela Uber e Spotify, perdeu tant...
- Hilton Honors Lança Oferta de Bônus que Vale até $1.220
- O CEO da startup Superhuman explica como a IA generativa vai mudar ...
“Uma das razões pelas quais [a Amazon] é tão boa em segurança é porque a segurança se reporta ao CEO e ao conselho regularmente”, diz ele. O conselho da Amazon também tem seu próprio comitê dedicado à segurança.
Para que os líderes avaliem a robustez de sua preparação em cibersegurança, Schmidt sugere que os conselhos façam estas perguntas aos CISOs:
Quem é responsável pela segurança? A resposta correta, na visão de Schmidt, são os líderes de linha de negócios e divisões que se reportam ao CEO. Se eles não estiverem envolvidos na segurança dos dados de seus departamentos, sua equipe não verá a segurança como sua principal responsabilidade.
Que tipo de visibilidade temos sobre todos os nossos ativos? Os adversários estão sempre procurando pontos de entrada nos sistemas corporativos, mas muitas empresas não têm um catálogo com todos os dados e dispositivos, incluindo dispositivos de funcionários, servidores e software. Sem essa informação, não podem ver onde deixaram portas abertas e não saberão o que fazer quando ocorrer uma violação de segurança.
Os conselhos também devem perguntar com que frequência esse catálogo é atualizado e como a equipe de segurança é alertada quando algo muda. “São geralmente essas pequenas mudanças que ocorrem ao longo do tempo que dão oportunidades aos adversários”, alerta Schmidt.
Quem tem acesso a quais dados? Por que eles precisam deles e por quanto tempo? Os ciberataques normalmente começam com alguém roubando a identidade de um funcionário, subornando um funcionário ou enganando-o para que forneça uma senha. Ter credenciais legítimas torna os crimes fáceis de cometer e difíceis de detectar, diz Schmidt, então as empresas precisam minimizar o alcance de cada funcionário. Ele sugere que os conselhos perguntem aos seus CISOs quem pode ver o quê, por quê e por quanto tempo, em toda a empresa. Também pergunte: Com que frequência esses parâmetros são atualizados? Na Amazon, a regra é que “você não tem acesso a nenhum dado”, diz Schmidt, “a menos que seja necessário para fazer o seu trabalho naquele momento específico”.
Como classificamos nossos ativos, como dados de clientes ou segredos comerciais, por importância? A resposta não importa tanto quanto o fato das empresas fazerem a avaliação. Pergunte: “Quais são as coisas que realmente me importam? Onde elas estão localizadas? Como estão protegidas?”
Quantas camadas de proteção temos? Nenhuma camada única de defesa é 100% confiável, diz Schmidt. Os conselhos precisam perguntar aos seus CISOs: “Você possui uma segunda linha de proteção e consegue responder rapidamente a uma falha? Estamos testando todas as camadas? Quais são os resultados?”
Como vamos responder a um ataque? Usando exercícios de simulação, os conselhos e as equipes de gestão devem projetar – e testar – planos de contingência pós-ataque adaptados para cada ativo precioso. “Planos que não são testados se deterioram ao longo do tempo”, diz Schmidt. “O mundo muda ao nosso redor e os negócios evoluem.”
Lila [email protected]@lilamaclellan
Anotado
“Essa evidência é suficiente para apoiar a determinação da SEC de que, independentemente de os investidores acharem que a diversidade nos conselhos é boa ou ruim para as empresas, a divulgação de informações sobre diversidade nos conselhos informaria como os investidores se comportam no mercado.”
—Em uma opinião publicada na semana passada, um tribunal de apelação federal em Nova Orleans explicou por que apoiou a aprovação da regra de diversidade da Nasdaq pela SEC, que exige que as empresas listadas na Nasdaq divulguem suas métricas de diversidade nos conselhos e tenham pelo menos dois diretores pertencentes a grupos sub-representados em seus conselhos. O tribunal rejeitou argumentos feitos por um grupo ativista anti-DEI que tentou impedir os esforços da Nasdaq.
Em Resumo
—Jeffrey Sonnenfeld, professor da Escola de Gestão de Yale e presidente do Instituto de Liderança Executiva, começou a rastrear empresas que fizeram declarações públicas condenando o ataque do Hamas a Israel, que teve início em 7 de outubro. Tomar uma posição pública sobre o conflito entre Israel e o Hamas é particularmente delicado para empresas multinacionais, mas funcionários da Meta, Alphabet, Amazon e outras ainda esperam que sua gestão faça isso, informa o Washington Post.
— Cerca de 64% dos CEOs preveem um retorno total ao escritório, cinco dias por semana, até 2026, de acordo com um novo relatório da KPMG. A empresa de consultoria entrevistou mais de 1.300 presidentes executivos em 11 países.
— Um acionista da Skechers está processando o conselho da empresa por não impedirem que líderes seniores do fabricante de calçados reservassem jatos corporativos para férias particulares. Especificamente, o investidor afirma que os diretores da Skechers negligenciaram seus deveres fiduciários ao permitir que Robert Greenberg, CEO, fundador e presidente da empresa, e seus dois filhos – que também são diretores e executivos da Skechers – utilizassem jatos da Bombardier reservados para uso comercial para destinos como Havaí, Bora Bora e Fiji.
— Após vencer uma batalha de procuração bem-sucedida com a Illumina este ano, o investidor ativista Carl Icahn está processando vários membros do conselho corporativo da empresa de biotecnologia, alegando que os diretores deixaram de proteger os acionistas quando permitiram que a empresa adquirisse a Grail, fabricante de um teste de detecção precoce de câncer, contra a objeção de reguladores nos EUA e na Europa. Por várias razões descritas na reclamação, a compra fez o preço das ações da empresa despencar.
Escolha do Editor
Enviar e receber mensagens de vídeo personalizadas do Cameo de celebridades foi divertido por um tempo, mas—oh!—acabou se revelando uma moda da era da pandemia, de acordo com um novo e empolgante artigo do New York Times.
Como muitas startups que explodiram em unicórnios do nada, o crescimento do Cameo—e a posterior avaliação de US$ 1 bilhão apenas quatro anos após seu lançamento em 2017—foi impulsionado por investimentos de empresas de capital de risco excessivamente exuberantes, incluindo a Softbank. Algumas dessas empresas em estágio inicial “se tornam o próximo Facebook. Mas inúmeras outras acabam se autodestruindo”, argumenta a matéria. Aparentemente, nem mesmo o poder de estrelas como Snoop Dogg, Alyssa Milano e Brian Baumgartner (conhecido também como Kevin da série de TV The Office) foi suficiente para evitar a queda do Cameo para a última categoria. A empresa já empregou quase 400 pessoas; agora tem apenas 33 funcionários e “opera como um vazio do que já foi”.
