Força nos números: Abordagem colaborativa da Axis para a segurança cibernética

À medida que as ameaças cibernéticas se tornam mais sofisticadas, nossa abordagem para combatê-las também evolui. "A segurança é parte integrante de tudo o que fazemos, desde o desenvolvimento de tecnologia até nossas operações diárias", diz Jonas Falk, Diretor de Segurança Cibernética da Axis. Liderando o esforço de segurança cibernética está o Grupo de Segurança de Software (SSG) da Axis, uma equipe central de cinco engenheiros de segurança que trabalham na organização de P&D. Ele desenvolve o Modelo de Desenvolvimento de Segurança da Axis (ASDM), uma estrutura que define o processo e as ferramentas que usamos para criar softwares com segurança incorporada ao longo de todo o ciclo de vida, desde a concepção até a desativação.

Mas será que cinco pessoas conseguem cuidar sozinhas da segurança cibernética de uma grande organização como a Axis? Definitivamente não, por isso a equipe implementou uma rede única de “satélites” — cerca de 75 indivíduos que atuam como os sensores do SSG em toda a empresa. Em vez de eles mesmos realizarem o trabalho de segurança a partir de uma posição centralizada, a equipe SSG orienta e capacita os engenheiros de software satélites a assumirem a liderança e entenderem como fazer o trabalho por conta própria e, por sua vez, orientarem suas equipes. Ao se tornar um satélite, você não apenas aprimora suas habilidades e conhecimentos, mas também desempenha um papel vital no desenvolvimento de soluções inovadoras de segurança cibernética. 

Para entender um pouco mais a fundo como essa configuração funciona, conversamos com três membros da equipe de SSG: Eva Haslum está na Axis desde 2012, primeiro como desenvolvedora de software e como satélite e, depois, em seu cargo atual na equipe como engenheira de segurança de software, onde está desde 2023. Lisa Eneroth também foi desenvolvedora de software e satélite por três anos e meio antes de ingressar na equipe de SSG em 2022. E Tara Hassani, uma engenheira de segurança de software que ingressou na Axis e no SSG em 2022, logo após seu mestrado em ciências da computação.

Lisa explica como você pode se tornar um satélite: "Tudo começa com a identificação da necessidade de um satélite no departamento de P&D. Então, o gerente de P&D indica um dos engenheiros de software que ele acha que seria adequado para o cargo". Eva acrescenta: "Mas é claro que, se você estiver interessado em segurança, também pode se candidatar. Não é preciso ser um especialista em segurança, pois nós vamos orientar você nisso e oferecer suporte: você só precisa ser curioso e gostar de trabalhar em equipe e ensinar os outros". Embora qualquer engenheiro de software possa se tornar um satélite, houve um aumento notável e encorajador no número de mulheres ingressando na rede. Eva especula o motivo: "Somos quase todas mulheres na equipe SSG, o que talvez inspire outras mulheres a se juntarem."

Uma vez no papel de satélite, normalmente você divide seu tempo, dedicando cerca de 80% às tarefas usuais e 20% às responsabilidades de segurança cibernética. O SSG realiza workshops iniciais e sessões de coaching com o satélite e sua equipe. À medida que sua competência cresce, a equipe SSG começa a se afastar, permitindo que o satélite lidere o trabalho, enquanto continuam recebendo suporte. A rede de satélites atua como um sistema de suporte e uma forma de facilitar o compartilhamento de conhecimento e as melhores práticas. Embora os satélites ajudem a tornar nossos produtos mais seguros, Lisa enfatiza um ponto importante: “Os satélites não são responsáveis pela segurança dos produtos finais: o gerente de linha na organização de P&D sempre tem a responsabilidade final e derradeira caso algo aconteça” 

Eva nos conta do que ela gostou ao ser uma satélite e em seu cargo atual: "É uma forma fantástica de conhecer toda a organização e de trabalhar com pessoas de diferentes departamentos e mercados. Então, como parte do SSG, você obtém um entendimento realmente aprofundado do portfólio da Axis, provavelmente mais do que a maioria das pessoas na organização.” Lisa explica que, enquanto era uma satélite, ela sempre aguardava com expectativa as tarefas de segurança, tanto que acabou passando para o trabalho de segurança em tempo integral: "É um trabalho muito gratificante. É possível passar de professor para solucionador de problemas de um momento para outro e ainda acompanhar a evolução dos produtos."

Os benefícios de adotar uma abordagem descentralizada e colaborativa para a segurança cibernética são inúmeros. "Isso resulta em um trabalho de segurança de qualidade muito superior, porque está sendo desenvolvido e implementado por pessoas que realmente conhecem os produtos e os riscos associados", diz Lisa. Lisa, Tara e Eva também concordam que essa forma de trabalhar se encaixa na cultura da empresa Axis, na qual estamos comprometidos em resolver problemas juntos e capacitar uns aos outros.