Gestão de incidentes: Trate seu time e sua empresa como uma Startup em Segurança
Como alguém que já liderou equipes de segurança e startups, percebo muitas semelhanças entre ambas, especialmente quando falamos de gestão de incidentes.
De muitas maneiras, os problemas que você precisa resolver e os objetivos que precisa alcançar são surpreendentemente parecidos.
O objetivo deste post é oferecer aos gestores e líderes de equipes de segurança uma perspectiva diferente sobre como administrar efetivamente suas equipes, seguindo o modelo de desenvolvimento de uma startup.
Como uma Equipe de Segurança se Assemelha a uma Startup?
Essa ideia me ocorreu quando eu era Executivo de Segurança em uma empresa no segmento de saúde, apresentando um projeto de segurança em uma reunião de liderança sênior para conseguir financiamento.
Tendo acabado de sair de uma startup, senti uma forte sensação de déjà vu, pois alguns anos antes eu estava fazendo uma apresentação semelhante para um grupo de investidores em avaliar o capital de risco.
Os desafios entre ambas eram notavelmente parecidos.
A partir desse momento, mudei completamente a maneira como gerenciava equipes de segurança e executava meu papel.
Foi interessante perceber que, por exemplo, uma revisão cuidadosa dos vídeos dos treinamentos CISSP e do CISA traria ideias sobre como liderar sua equipe de forma mais eficaz.
Ou seja, uma capacitação da cibersegurança trazendo abordagem comum a gestão de incidentes, assim como startups.
Alinhe-se com os Objetivos de Negócio e investidores
Quando você procura parceria com um grupo de investidores, é do seu interesse fazer sua lição de casa sobre cada investidor.
Qual o perfil do investidor? Compra e venda? Expansão de portfólio? Prazo determinado ou não? Em quais outras empresas eles investiram e sua organização pode agregar valor a elas?
O entendimento destes objetivos pode fazer a diferença no relacionamento desde a largada.
Isso vale ao liderar uma equipe de segurança. O maior erro que vejo líderes de segurança cometerem é tentar vender “segurança” para a alta administração. Isso rapidamente transforma a equipe em “custo operacional”, algo que a empresa faz porque precisa, não porque ajuda no resultado.
Você precisa alinhar a segurança aos objetivos da organização. Eles estão tentando vender produtos para outras empresas?
Se sim, talvez a segurança possa implementar certificações para que a equipe de marketing possa direcionar perspectivas maiores.
Talvez a segurança possa integrar-se à equipe de vendas para lidar com perguntas relacionadas à segurança e, assim, reduzir o ciclo de vendas.
Ambas as atividades mudariam a equipe de segurança de custo operacional para um investimento na melhoria do fluxo de receita da organização, muito além de simplesmente abordar o risco operacional em si.
Fale a Linguagem de negócios, principalmente do investidor para gestão de incidente
Como profissionais de segurança, tendemos a falar na linguagem do risco cibernético. A alta administração fala na linguagem de risco e retorno para os negócios. Embora haja semelhanças, são coisas diferentes na abordagem.
Isso pode levar a desconexões, onde esperamos que a liderança compreenda a importância de uma vulnerabilidade quando, na verdade, podem não ter percepção dos verdadeiros riscos para o negócio.
Precisamos garantir que estamos traduzindo as informações de uma maneira que eles entenderão e priorizarão adequadamente.
Como exemplo, imagine que vou para a alta administração e digo: “Preciso contratar mais pessoas para resolver todas as vulnerabilidades CVSS 9+ em nosso ambiente!”.
Além de o entendimento da alta administração sobre a necessidade ser limitado, haverá também uma percepção de mais uma necessidade de redução de risco, assim como, por exemplo, uma apólice de seguro que visa terceirizar parte do risco, impactando diretamente a gestão de incidentes na empresa.
A comparação ficará presa no risco, nem de perto tocando em questões como metas de vendas ou cobertura de custos operacionais.
E por isso ficará somente neste segundo plano, pois receita menor custo, ou lucro, permanecerá em primeiro plano.
Agora, encaremos isso de outra maneira. Suponha que eu formule isso da seguinte maneira: “Se alcançarmos nossas certificações PCI DSS e SOC II, seremos mais atraentes para empresas maiores que pagarão mais por nossos produtos/serviços” (essa eu utilizei na prática várias vezes).
Alcançar essas certificações obviamente exigirá que abordemos todas as vulnerabilidades críticas, mas observe o que fizemos.
Mudamos a conversa de ser sobre seguro para ser sobre aumento de receita e, consequentemente, para uma abordagem mais estratégica na gestão de incidentes. Isso obviamente tem mais chances de ser financiado pela alta administração.
Compreenda Seu Público-Alvo
Da mesma forma que uma startup precisa entender seus clientes em potencial e usuários, uma equipe de segurança precisa entender as necessidades e objetivos das outras equipes na organização.
Por exemplo, mencionei anteriormente que a segurança poderia ajudar nas chamadas de prospecção de vendas para reduzir o tempo necessário para fechar negócios.
Você não saberia que essa é uma opção a menos que tivesse dedicado tempo para conversar com esses “usuários”.
Sua organização inteira é sua base de usuários em potencial. A segurança oferecerá serviços dentro da organização.
Para identificar a forma que isso deve ter, você precisa desenvolver inicialmente um Produto Mínimo Viável (MVP) e, em seguida, iterar para melhorar sua aceitação.
A única maneira de fazer isso é conversar com seus usuários, entender seus pontos problemáticos e abordá-los adequadamente, seguindo uma abordagem semelhante à gestão de incidentes em startups.
Isso é exatamente o que toda startup passa.
Forme Alianças com Parceiros (Internos e Externos)
É típico para uma startup construir parcerias para amplificar sua mensagem e melhorar sua proposta de valor.
Isso também é verdade para uma equipe de segurança dentro de uma organização.
Você deseja fazer parceria com outras equipes que compartilham objetivos semelhantes. A maioria das equipes de segurança faz parceria com TI e/ou operações.
Isso pode parecer fazer sentido, já que essas equipes são responsáveis pela implementação da maioria dos sistemas que estamos tentando proteger.
No entanto, argumentaria que isso os torna um cliente melhor do que um parceiro.
Considere lançar uma rede mais ampla dentro da organização. Por exemplo, a equipe jurídica está, sem dúvida, mais alinhada conosco do que qualquer outro grupo, incluindo TI e operações.
O objetivo da equipe jurídica é reduzir o risco para uma organização. Isso soa familiar?
Um dos maiores benefícios que encontrei ao fazer parceria com a equipe jurídica é que eles tendem a estar integrados à alta administração. Isso significa que você agora teria um defensor em potencial dentro desse grupo.
Outro parceiro relevante é o RH. Ora, se a empresa tem como dor o recrutamento e seleção, retenção e custo da força de trabalho da segurança, esta dor é tanto sua como do RH. Trabalhe junto com o RH!
É mais um intermediário que pode se tornar um defensor das suas necessidades dentro da organização.
Aproveite, crie e mantenha seu Pitch Deck para Financiar Projetos
Um erro comum que vejo líderes de segurança cometerem é tentar impulsionar grandes esforços por meio de e-mails ou conversas nos corredores.
Assim como você não esperaria que uma empresa de investimentos financiasse você com base em uma conversa passageira, a alta administração responderá de maneira semelhante.
Conquiste um tempo em uma reunião de liderança sênior para apresentar sua ideia. Imagine que sua equipe de segurança é uma startup e a alta administração é um grupo de VC. Monte um pitch deck para vender sua ideia.
Muitas das técnicas que funcionam ao apresentar para VCs são aplicáveis aqui também.
Lembre-se de permanecer alinhado com seus objetivos e com os objetivos da empresa. Ah, e que lucro fala mais alto que risco.
É seu domínio, assuma o controle!
Dentro de uma startup, os fundadores são responsáveis por criar a cultura e definir a direção da equipe. Isso é muito verdadeiro para equipes de segurança também.
Vejo muitos líderes de segurança que não assumem total responsabilidade por suas equipes. As decisões são adiadas para outros, e a cultura é definida pelo RH.
Para um contribuidor individual na equipe de segurança, pode parecer que sua liderança está apenas acompanhando em vez de liderar verdadeiramente.
A segurança é sua área, assuma o controle. Um bom fundador isolará sua equipe da maioria dos estresses que podem ser experimentados ao trabalhar com vocês.
Um bom líder de segurança fornecerá um buffer semelhante entre sua equipe e a alta administração. Essencialmente, existe um contrato social entre a liderança da equipe e a própria equipe.
Assuma sua parte desse contrato, e sua equipe fará o mesmo, promovendo assim uma comunicação mais eficaz e uma abordagem colaborativa na gestão de incidentes.
Conclusão
Ao adotar uma mentalidade de startup em relação à segurança, os gestores e líderes de equipes podem transformar a dinâmica organizacional e impulsionar resultados significativos.
A analogia entre uma equipe de segurança e uma startup revela não apenas semelhanças nos desafios enfrentados, mas também estratégias eficazes para os enfrentar.
Ao alinhar os objetivos de segurança com os objetivos de negócios e investidores, falar a linguagem do mundo dos negócios e entender profundamente o público-alvo interno, é possível criar alianças estratégicas que impulsionam a segurança como um investimento, não apenas um custo operacional.
Ao formular pitch decks convincentes e assumir a responsabilidade pela cultura e direção da equipe, os líderes de segurança podem orientar suas equipes rumo ao sucesso, promovendo uma mentalidade de controle e comprometimento.
Em última análise, ao tratar o time e a empresa como uma startup em segurança, abre-se o caminho para uma abordagem inovadora e eficaz na proteção dos ativos e na consecução dos objetivos organizacionais.
Quer que seu time de segurança esteja preparado e treinado? Nós da CECyber temos treinamentos FOR THE JOB focados em empresas!
Clique aqui e capacite agora seu time.
Por Anselmo Gavazzi
Comments are closed.