O que um PM precisa saber sobre segurança da informação?
Conforme o recente estudo feito pela IBM, vazamentos de dados custaram em média $3.86 milhões às empresas ao redor do mundo em 2020, o Brasil teve um crescimento de 29% no custo médio comparado ao estudo sobre o ano anterior.
Fatores humanos contribuíram em 23% das causas de vazamentos de dados no último ano, classificado como uma das 3 principais causas, ficando atrás somente de ataques maliciosos e falhas nos sistemas. Olhando para esse cenário, percebemos que a segurança da informação é muito mais que apenas um problema tecnológico para as organizações.
Não é da nossa cultura nos proteger na internet e meios eletrônicos como nos protegemos no meio físico. Pessoas procuram morar em bairros mais seguros, em condomínios com segurança, possuem fechaduras e trincos em suas portas, mas no meio online utilizam senhas de cartões com suas datas comemorativas, utilizam a mesma senha para diversas plataformas e cometem diversas outras ações que o tornam um risco.
Programas de conscientização são importantes para gerenciar o risco humano e implementar de fato uma cultura voltada à segurança da informação. São ferramentas importantes para o aumento da segurança da informação nas organizações, deve ser customizado para atender as necessidades de comunicações de cada empresa, tipo de negócio e maturidade do time, assim conseguimos extrair o maior valor do programa que é a disseminação de conhecimento para no final do dia nossas organizações estarem mais seguras.
Product Managers e Segurança da Informação
Antes, vamos fazer uma reflexão sobre o papel do Product Manager.
Os PMs atuam em 3 áreas críticas da organização: experiência de usuários, tecnologia e negócios. Um produto existe em função da estratégia das empresas, deve ajudar a organização a alcançar seus objetivos estratégicos enquanto soluciona problemas e as necessidades dos clientes.
E isso é uma grande responsabilidade não apenas com o usuário, mas com o negócio.
O PM deve ser encarado como um parceiro que pode ajudar o time de SI a disseminar e implementar segurança como requisito no desenvolvimento de novos produtos e melhorias.
Os PMs precisam conhecer os pilares de Segurança da Informação, o NIST define “Segurança da informação” como: proteger informações e sistemas contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição, de modo a fornecer:
- Integridade, que significa proteção contra modificação ou destruição indevida de informações e inclui a garantia do não-repúdio e da autenticidade das informações
- Confidencialidade, que significa preservar as restrições autorizadas sobre o acesso e divulgação, aqui incluem-se meios de proteção à privacidade pessoal das informações.
- Disponibilidade, se refere à garantia do acesso sempre que necessário e confiável no uso das informações.
A estratégia do time de SI para o negócio e as principais ameaças e vulnerabilidades de segurança que cercam o seu produto que está sendo desenvolvido ou melhorado também deve ser do conhecimento de todos e é papel do time de segurança disseminar esse conhecimento, para que juntos, possam desenvolver histórias para mitigar essas ameaças. As histórias de segurança devem descrever ao máximo o problema que está tentando resolver e critérios de aceitação.
É importante que a equipe de segurança esteja envolvida no planejamento do sprint para contribuir com estimativas e ajudar com a priorização. Os profissionais de segurança precisam trabalhar com os times de produto para evitar vulnerabilidades e principalmente influenciar a estratégia do produto, buscando segurança desde o design.
Quando trazemos essa abordagem como parte do desenvolvimento do produto desde o seu início, tratamos falhas e vulnerabilidades muito antes de se tornarem grandes problemas para as organizações. Se a segurança não for um critério do seu design, ela dificilmente será tratada ao longo do desenvolvimento do produto.
Existem diversas abordagens para tratarmos de segurança desde o design que abordam requisitos e princípios que devem ser seguidos para ter mais eficácia na segurança, tais como NIST, ISO, dentre outras. Não há uma caixinha que servirá perfeitamente para todas as empresas, a segurança vai muito além de um único framework que implementamos, ela é sistêmica, cultural e precisa estar presente em todas as camadas da organização.
A cultura de colaboração entre essas equipes é essencial para que as abordagens de segurança sejam eficazes. A mesma deve ser encarada como um recurso do produto que agrega valor e não como uma solução alternativa ou feature que não será priorizada.
