Artigo
Por que os líderes de segurança precisam priorizar uma excelente experiência do cliente
by Chris Peake
Nota do editor: o ecossistema da tecnologia da informação está em constante evolução. Sempre haverá pessoas mal-intencionadas, por isso é crucial que as organizações saibam que os dados em que confiam com plataformas de software como serviço (SaaS) estão protegidos. Neste artigo, Chris Peake, vice-presidente de segurança da informação (CISO) da Smartsheet, explica por que a transparência em torno das práticas de segurança é crucial para construir e manter a confiança dos clientes que precisam de plataformas de nível empresarial para gerenciar seu trabalho.
Depois que me formei na faculdade em 1997, comecei a trabalhar como coordenador de missões médicas na Operation Smile, organização sem fins lucrativos que facilita cirurgias de lábio leporino e fenda palatina em todo o mundo. Como a maioria das organizações sem fins lucrativos não tem grandes orçamentos, meu trabalho paralelo era focado em TI. Construí bancos de dados, mantive sistemas e treinei a equipe sobre como usar todos os itens acima.
Ajudei a implementar alguns dos primeiros eventos de telemedicina da Operation Smile para conectar médicos em vários países para consultas e cirurgias ao vivo. Esses eventos foram demonstrações do incrível poder da tecnologia e, refletindo bem, como é fundamental para os profissionais de segurança proteger as pessoas que a utilizam — especialmente dados pessoais ou confidenciais.
Ao longo da minha carreira, uma coisa ficou muito clara: os líderes de segurança e suas equipes devem se comprometer com uma excelente experiência para o cliente. E esse ponto de vista centrado no cliente precisa ser orientado por um compromisso com a privacidade dos dados, conquistando e mantendo a confiança das pessoas, transparência nos testes de segurança e contribuindo para uma comunidade mais ampla de segurança da informação.
A evolução da proteção de dados
Ao longo de anos de pesquisa e experiência prática, aprendi que não é possível ganhar confiança sem transparência ao lidar com dados de clientes. Por exemplo, antes da popularização dos bancos on-line em meados da década de 1990, muitas pessoas tinham medo de abandonar o banco tradicional. No passado, a gente só ia pessoalmente à agência local, preenchia um comprovante de depósito, fazia uma transação com um caixa de banco ou em um caixa eletrônico e continuava o dia.
Para preparar as pessoas para a alternativa on-line, os bancos precisavam garantir (e tranquilizar) os clientes de que suas transações eram seguras, protegidas e fáceis de rastrear em seu computador doméstico. Da mesma forma, ao adotar uma plataforma SaaS, você transfere uma responsabilidade significativa pelo sistema e pelos dados para o provedor.
Organizações de nível empresarial que usam uma plataforma para gerenciar o trabalho precisam saber que podem confiar no provedor para proteger os dados. E, como profissionais de segurança, proteção também significa não olhar para as especificidades dos dados que os clientes adicionam às nossas plataformas SaaS.
Conquistar e manter a confiança do cliente
Na Smartsheet, nos dedicamos a ganhar e manter a confiança de nossos clientes. Como parte desse compromisso constante, continuaremos a desenvolver nosso programa de segurança de nível empresarial. Vamos atender ou exceder os padrões de segurança da empresa para garantir que o Smartsheet seja uma solução completa para segurança de dados, privacidade e governança.
Nosso objetivo de longo prazo é estimular o potencial do Smartsheet, permitindo que os clientes trabalhem com dados de sensibilidade variada, tendo a confiança de que eles estão protegidos de todas as formas necessárias.
Embora seja um ótimo ponto de partida, é importante fazer certificações de conformidade, informações de privacidade e segurança, e tudo o que estiver disponível em seu site corporativo. É por isso que construímos o Smartsheet Trust Center.
No entanto, quando eu ou alguém da minha equipe de especialistas em segurança falamos diretamente com os clientes, podemos entrar em mais detalhes sobre os processos padrão e procedimentos operacionais da empresa, os controles que eles têm ou não e ser francos sobre os casos de uso que são e não são apropriados para o nosso serviço — do ponto de vista da segurança da informação. Na minha experiência, esse nível de franqueza ajuda a construir confiança mútua com nossos clientes — que é a base de uma parceria duradoura.
A segunda coisa que gera confiança é lembrar às pessoas que temos um compromisso infindável de melhorar nosso programa de segurança. Na minha opinião, o ponto principal de uma jornada de maturidade é que nunca há uma linha de chegada. Você está sempre evoluindo para corresponder ao cenário em constante mudança das ameaças à segurança. Minha equipe está sempre inovando com maneiras de melhorar o produto e os controles de segurança, ao mesmo tempo em que utiliza tecnologia de ponta que continuará a tornar a plataforma Smartsheet segura.
Transparência em torno dos testes de segurança
A transparência é uma via de mão dupla. Queremos continuar conversando com os clientes para entender seus requisitos e necessidades, levar isso a sério e fazer algo a respeito. Eles confiam que seus dados estão seguros em nossa plataforma e que não podemos e não vamos compartilhar seus dados ou informações.
Quando eu dava palestras para profissionais de segurança, pedia que levantassem a mão se utilizassem um serviço baseado em nuvem. Quase todo mundo levantou a mão. Em seguida, perguntei se eles confiam naquele serviço e quase todos baixaram a mão. A partir daí, ficou claro para mim que os profissionais de segurança precisam saber por que confiam ou não em um provedor de serviços.
O ambiente do aplicativo Smartsheet está em constante aprimoramento, por isso conduzimos continuamente testes de segurança iterativos, porém abrangentes, em todos os níveis: hardware, rede, sistema individual, serviço e aplicativo. Isso é obrigatório para qualquer empresa de alta integridade que forneça uma plataforma SaaS de nível empresarial.
No nível do aplicativo, concluímos regularmente testes de penetração internos e externos. Conduzimos revisões de código no nível do aplicativo como parte de nosso processo de desenvolvimento — onde fazemos verificações ativas antes de qualquer código ser implantado.
Em seguida, conduzimos análises por pares e participamos de um programa de recompensas por bugs, onde permitimos que pesquisadores terceirizados analisem nossos ambientes e relatem bugs. Corrigimos quaisquer bugs ou vulnerabilidades descobertos como parte desses processos. Do ponto de vista da segurança, consideramos várias direções de onde um ataque pode vir para garantir que estejamos sempre preparados.
Contribuição com a comunidade de segurança da informação
A tecnologia da informação é um ecossistema. Computação em nuvem, data centers locais, redes, sistemas telefônicos, sistemas digitais – hoje em dia, tudo está conectado.
Assim sendo, na Smartsheet fazemos parcerias intencionalmente com organizações e outros provedores de SaaS para trabalhar em desafios comuns que todos enfrentamos. Do ponto de vista do produto, fazemos parceria com outras ofertas de software de nível empresarial, como Salesforce e Google. Essas empresas fizeram a devida diligência para garantir que suas plataformas sejam, até onde eles saibam, protegidas.
Como líder no espaço de gerenciamento de trabalho colaborativo (CWM), a Smartsheet também se conecta à comunidade de segurança da informação em geral. Em 2018, a Smartsheet ingressou no Grupo de trabalho antiabuso de mensagens, malware e dispositivos móveis (M3AAWG) porque é essencial ouvir e trabalhar com nossos colegas para criar padrões e documentação do setor e fornecer orientação.
Mas vai além desse aspecto, pois organizações de todos os portes em todos os setores usam o Smartsheet todos os dias. Temos uma oportunidade única de ouvir nossos clientes em todos os setores, entender verdadeiramente os desafios de segurança e privacidade de dados que eles enfrentam e oferecer conselhos a outros provedores de SaaS nessa área. Esse nível de compartilhamento de conhecimento e alinhamento em torno das melhores práticas beneficia todos os nossos clientes.
Ao participar de organizações em grupos como o M3AAWG, também podemos ajudar a orientar a próxima geração de tecnólogos e startups que já estão trabalhando em suas grandes ideias. Como a maioria (mas não todas!) grandes organizações são tipicamente menos ágeis e mais lentas para dinamizar, adotar e inovar, é importante fornecer às empresas em estágio de crescimento que desejam escalar e aos alunos as melhores práticas para processos e protocolos de segurança.
Eventualmente, a próxima onda de empresas amadurecerá e os estudantes focados em tecnologia entrarão na força de trabalho e guiarão nosso futuro coletivo. Os profissionais de segurança têm a oportunidade de orientar, sim, mas também aprender com a próxima geração sobre como construir e manter a confiança de futuros clientes.
Inscreva-se no Boletim informativo de TI do Smartsheet para obter dicas, estratégias e ideias focadas em ajudar os profissionais de TI a aumentar seu impacto nos negócios.
Para saber mais sobre as políticas do Smartsheet para segurança da informação, conformidade e governança, e proteção de dados, visite nosso Trust Center.