O Dropbox Security Team é responsável por garantir cerca de um exabyte de dados, pertencendo a mais de meio bilhão de usuários registrados em todo o mundo. A responsabilidade de proteger dados nessa escala vai muito além da Equipe de segurança do Dropbox – é necessário um compromisso de todos no Dropbox para proteger os dados de nossos usuários todos os dias. Em outras palavras, é necessária uma forte cultura de segurança.
O primeiro valor principal da empresa no Dropbox é “Seja digno de confiança”. Do ponto de vista da segurança, isso significa manter as coisas dos usuários em segurança. Nossa cultura de segurança é construída sobre esse fundamento de confiança e é parte fundamental de nossa identidade. Temos uma Equipe de Cultura de Segurança dedicada cuja missão é cultivar um ambiente onde nossos funcionários tomem decisões consistentemente seguras e informadas que protegem o Dropbox, nossos usuários, nossos funcionários e nossos espaços físicos.
Para construir suas culturas de segurança, as empresas adotaram abordagens que vão da gamificação aos treinamentos de segurança obrigatórios. No Dropbox, fazemos essas coisas e muito mais. A cada ano, a equipe de segurança organiza um dos maiores eventos da empresa no Dropbox, chamado Trustober, realizado durante o mês nacional da conscientização sobre segurança cibernética em outubro. E sim, você leu certo – a Equipe de Segurança lança um dos nossos maiores sucessos!
O que é Trustober?
Embora nutrir uma cultura de segurança seja um trabalho que dura o ano todo, a Trustober reúne os funcionários do Dropbox para aprender mais sobre as maneiras como protegemos o Dropbox, nossos usuários e uns aos outros. É um mês que nos ajuda a celebrar uma cultura de segurança no local de trabalho e fora do escritório.
Durante o Trustober 2017, a equipe de segurança do Dropbox projetou e realizou mais de 30 programas de segurança globalmente. Estes incluíam desde palestras curtas e perguntas e respostas a workshops de um dia sobre tópicos relacionados a segurança, segurança e confiança, incluindo:
- Tailgating
- Engenharia social
- Phishing
- Modelagem de ameaças
- Segurança da conta
- Primeiros socorros e treinamento em RCP
- Programas de recompensa de bugs
- Práticas de continuidade de negócios
- Práticas de codificação seguras
- Autenticação de dois fatores
- Gerenciadores de senha e higiene de senha
A maioria das nossas palestras e workshops são criados internamente com uma equipe forte de voluntários e são compartilhados em todos os nossos escritórios em todo o mundo. Também tivemos a sorte de ter amigos da comunidade de segurança, incluindo Adam Shostack, David Molnar, Charlie Reis, Brad Hill e Frans Rosén, compartilharem suas histórias e pesquisarem com nossos funcionários.
Despertando a curiosidade em segurança
Uma maneira de fazermos as coisas de maneira diferente no Dropbox é criar experiências imersivas que tornam a segurança e a segurança uma prioridade para nossos funcionários. Nosso objetivo é estimular a curiosidade e a mentalidade de segurança em nossos funcionários por meio de programas criativos, divertidos e envolventes.
Por exemplo, enquanto a engenharia social é um conceito familiar, o relatório de investigações de violação de dados da Verizon de 2018 descobriu que mais de 90% das violações de dados têm um aspecto de engenharia social ou de phishing. Durante a Trustober, vários funcionários do Dropbox se ofereceram para um workshop de engenharia social com duração de um dia, projetado e conduzido por especialistas internos que os imergiram em um cenário hipotético envolvendo um insider malicioso. Os participantes conduziram uma investigação juntos em um exercício rápido e colaborativo que os tirou de suas funções diárias e rotinas. Quando solicitado feedback, um funcionário compartilhou:
“A engenharia social está em toda parte e qualquer um pode ser um alvo ou um engenheiro social … foi muito emocionante (e muito divertido!) Ver como isso é feito na vida real em vez de um filme de Hollywood.”
No Dropbox, trabalhamos para criar uma cultura positiva em relação à geração de e-mails potenciais de phishing, incentivando os funcionários a denunciarem algo suspeito, realizando campanhas de teste regularmente e promovendo workshops divertidos. Durante a Trustober, fizemos um workshop prático onde os funcionários do Dropbox pesquisaram, criaram e apresentaram seus próprios esquemas de phishing. Ao ensiná-los a criar esquemas de phishing direcionados, nosso objetivo era que os funcionários entendessem o que faz com que um e-mail de phishing pareça legítimo.
Também fizemos parcerias com palestrantes, como o Dr. Mark Baldwin, especialista internacional na Enigma Machine, para levar oficinas imersivas sobre tópicos relacionados à segurança para o Dropbox. Essas experiências fornecem um mergulho profundo na segurança de vários ângulos. Dr. Baldwin, apelidado de “Dr. Enigma, ”ilustrou como erros humanos, falhas processuais e vazamentos de informações importantes permitiram que a equipe de Bletchley Park e outras pessoas quebrassem as cifras da máquina Enigma, apesar de sua sofisticação técnica. Não apenas a palestra do Dr. Enigma ilustrou como uma organização pode ser tão segura quanto as pessoas que estão operando ou cuidando dela, mas também forneceu aos nossos funcionários uma oportunidade histórica e prática de entender a importância de suas responsabilidades pessoais. em manter o Dropbox e nossos usuários seguros.
Um destaque do Trustober é o nosso Capture the Flag (CTF) anual, uma competição que oferece aos funcionários uma oportunidade divertida e prática de resolver quebra-cabeças relacionados à segurança. Ao ensinar os funcionários a reconhecer potenciais falhas de segurança, deixamos nossos funcionários empolgados com a segurança e os ajudamos a praticar seu pensamento ofensivo. No Dropbox, projetamos e administramos nosso CTF internamente, um esforço hercúleo que você vai ouvir mais sobre essa série de posts no blog. Em 2017, mais de 200 funcionários participaram do CTF, que se concentrou em tópicos que vão desde a análise forense de disco até a escrita de cargas úteis de XSS que contornam o CSP. Depois do CTF, esta foi a nossa resposta de pesquisa favorita:
Um evento como o Trustober também dá ao Dropbox a oportunidade de celebrar nossa cultura de segurança, oferecendo aos nossos funcionários oportunidades de aprender sobre sua segurança física, tanto no local de trabalho como em casa. Em 2017, realizamos uma série de workshops de primeiros socorros e certificação de RCP em parceria com a Cruz Vermelha Americana e a Irish Heart Foundation. Mais de 200 funcionários se inscreveram para as oficinas voluntárias e receberam certificações de primeiros socorros e CPR dessas organizações para concluir com êxito os cursos. Nossos funcionários recém-certificados do Dropbox agora ajudam a apoiar seu local de trabalho com um alto nível de preparação para emergências.
Fazendo a diferença
Como sabemos que nossos esforços com cultura de segurança estão fazendo a diferença? Analisamos o impacto geral que estamos gerando, incluindo conversas nos canais internos da empresa, participação em eventos e perguntas feitas à nossa equipe e solicitamos feedback de nossos funcionários.
Uma maneira de observar o engajamento é ver as discussões internas nos canais da empresa em torno dos desafios de badging, tailgating e segurança dentro de um CTF. Estes podem ser difíceis de medir, mas indicam que estamos despertando o pensamento voltado para a segurança dentro de nossa empresa. Nossos eventos variam de pequenas e curiosas multidões a públicos de mais de 100 anos, e é importante observar o desafio de incentivar a participação em meio a todos os outros compromissos que os funcionários têm.
Outra maneira de analisar o engajamento é pesquisar diretamente seus funcionários. Mais de 90% dos funcionários do Dropbox que responderam à nossa pesquisa consideraram o conteúdo do Trustober como útil para segurança e proteção em suas funções e locais de trabalho, incluindo as seguintes respostas:
“Eu encontrei todas as sessões que participei muito interessante e educacional. É incrível o quanto consideramos a segurança garantida no Dropbox e como é importante continuar vigilante, porque os bandidos estão sempre aprendendo também! ”
“Segurança e confiança são algo que afeta todos os [funcionários] e é para cada um de nós possuímos isso.”
É importante destacar a escala de executar algo como Trustober, especialmente se você estiver interessado em criar um evento semelhante. O lançamento e funcionamento do Trustober 2017 levou 130 funcionários que se apresentaram em quase uma dúzia de escritórios do Dropbox, e exigiram coordenação e comunicação próximas. No entanto, criamos agora dezenas de horas de conhecimento e recursos de segurança nas palestras, workshops e programas que ajudarão os funcionários do Dropbox a aprender enquanto crescemos.
Próximos passos
Olhando para iniciar um programa de cultura de segurança na sua empresa? Comece por mergulhar no seu estado atual de comportamentos de segurança, identificando onde você deseja mover a agulha e definindo suas metas. É importante desenvolver sua abordagem com a cultura de sua empresa em mente e associar-se a pessoas que possam ajudá-lo. Quando se trata de obter suporte, recomendamos compartilhar o programa e seus objetivos amplamente com seus funcionários. No geral, é preciso uma quantidade significativa de recursos, habilidades e apoio para construir um programa transformador que se concentra na cultura além da conscientização.
A boa notícia é que estamos juntos nisso. Como um dos nossos funcionários colocou o melhor em seu feedback sobre o estado de segurança, “Caramba, é loucura por aí!” Se você é um profissional de segurança ou simplesmente curioso, nós encorajamos você a compartilhar suas idéias, feedback e perguntas para encontrar maneiras de nos ajudar a permanecer seguros.
Quer saber mais sobre o Dropbox Business no Brasil? Figo Software: Contato e Fone: (11) 4063 9639
