Criar uma cultura de segurança receptiva e adaptável - Guia de resposta a incidentes de segurança da AWS

Criar uma cultura de segurança receptiva e adaptável

Na AWS, aprendemos que nossos clientes e nossas próprias equipes internas são mais bem-sucedidos quando as equipes de segurança são facilitadoras cooperativas para seus negócios e seus desenvolvedores, que promovem uma cultura que garante que todas as partes interessadas cooperem e escalem para manter um procedimento de segurança ágil e altamente responsivo. Embora melhorar a cultura de segurança da sua organização não seja o assunto deste documento, você pode obter informações relevantes de sua equipe que não seja de segurança se perceberem que a equipe de segurança está receptiva. Quando sua equipe de segurança está aberta e acessível, com o apoio da liderança, é mais provável que ela receba notificações, cooperação e respostas adicionais e oportunas a eventos de segurança.

Em algumas organizações, a equipe pode temer a retribuição se relatar um problema de segurança. Às vezes, simplesmente não sabem como relatar um problema. Em outros casos, podem não querer perder tempo ou se sentir constrangidos de relatar algo como um incidente de segurança que mais tarde descubram não se tratar de um problema. Da equipe de liderança para baixo, é importante promover uma cultura de aceitação e convidar todos a fazer parte da segurança da organização. Forneça um canal claro para que qualquer pessoa abra um tíquete de alta gravidade sempre que acreditar que pode haver um risco ou ameaça em potencial. Receba essas notificações com a mente aberta e disposta, mas o mais importante, deixe claro para a equipe que não é de segurança que você aceita essas notificações. Enfatize que você prefere ser notificado demais sobre possíveis problemas do que não receber nenhuma notificação. É muito melhor para um desenvolvedor destacar seu próprio erro do que um pesquisador apontar o problema em um artigo público.

Essas notificações oferecem oportunidades valiosas para praticar investigações responsivas sob estresse. Elas podem servir como um encaminhamento de feedback importante enquanto você desenvolve seus procedimentos de resposta.