Home > Gestão

10 dicas para apresentar projetos de cibersegurança ao conselho

Seja direto, tenha um mentor dentro do conselho, seja honesto sobre limites e sempre prepare relatórios

Mary K. Pratt, CSO Online

31/07/2019 às 12h04

Foto: Shutterstock

A cibersegurança é uma das principais preocupações da diretoria das empresas. De fato, 42% dos cerca de 500 líderes pesquisados ​​pela Associação Nacional de Diretores Corporativos listaram os riscos de segurança cibernética como uma das cinco inquietações mais urgentes que estão enfrentando. Como resultado, os chefes de segurança estão cada vez mais presentes nos conselhos para informá-los sobre os riscos que enfrentam e quais as melhores estratégias para reduzi-los.

Apesar da tendência de aproximação, muitos membros de conselhos administrativos acreditam que não estão recebendo as informações de que necessitam dos seus diretores de segurança. “Os membros do conselho estão falando sobre risco cibernético, e os comitês de risco e auditoria estão gastando muito tempo com os CISOs e, em geral, estão insatisfeitos com a experiência”, diz David Chinn, sócio sênior da McKinsey & Co.

Para melhorar a relação, há algumas etapas que os CISOs podem adotar, evitando as avaliações negativas.

1. Preparação de relatórios

Os CISOs devem preparar relatórios para distribuição aos membros do conselho antes da apresentação. Alguns pensam que o trabalho prático é suficiente, mas executivos experientes e consultores de liderança dizem que os CISOs precisam fazer um trabalho de preparação mais focado ou até mesmo receber treinamento específico.

2. Oferecer avaliações

Para os especialistas, os membros dos conselhos administrativos esperam que os CISOs apresentem uma avaliação da postura de segurança cibernética da empresa e como a área precisa melhorar. Dessa forma, aconselha-se que os líderes de segurança compartilhem informações sobre os projetos em andamento, expliquem quais são os riscos que a empresa enfrenta e o posicionamento dos correntes.

3. Ser transparente

As avaliações não devem ofuscar os riscos para a empresa, dizem os especialistas, portanto os CISOs devem ser diretos e apresentar informações relevantes de maneira direta e acessível. Os membros do conselho querem saber quais os riscos enfrentados pela organização, o impacto comercial desses riscos, de que forma os investimentos em segurança estão sendo utilizados e se as soluções adotadas produziram redução significativa às ameaças.

4. Antecipar as perguntas (complicadas)

A sala de reuniões não é lugar para surpresas. Rob Clyde, presidente do conselho de administração da ISACA, sugere que os CISOs antecipem as perguntas que serão feitas pelos membros do conselho - particularmente as perguntas mais difíceis de responder, como "quão boa é a nossa segurança?" e "estamos seguros?". Os CISOs, muitas vezes, lutam para responder adequadamente a esses tipos de perguntas e, como resultado, tendem a fornecer respostas inadequadas ou confusas.

5. Ser honesto sobre limites

Em uma nota relacionada, executivos experientes dizem que os CISOs devem ser realistas ao responder a perguntas sobre risco organizacional e postura de segurança cibernética - mesmo que eles temam que suas respostas possam abalar a sua imagem. “Alguns conselhos perguntarão: 'Estamos 100% seguros?' Você nunca deve responder afirmativamente ou responder de forma imprecisa, dando garantias infundadas”, afirma Clyde.

6. Não assustar o conselho

Os CISOs sabem da quantidade crescente e da sofisticação dos ataques aos sistemas de segurança, portanto, não surpreende que eles procurem compartilhar essas informações com suas diretorias, enquanto explicam os recursos de que precisam para neutralizar todas essas ameaças. Pelos seus conhecimentos no assunto, muitos CISOs começam a listar tudo o que está acontecendo no mundo e fazem parecer que não há soluções possíveis para aplacar a angústia da diretoria.

De acordo com os analistas, os conselhos certamente querem dados, mas desejam essas informações de maneira a permitir que tomem decisões certas sobre onde colocar seus investimentos em segurança para reduzir os maiores riscos.

7. Ter um mentor dentro do conselho

James Carder, CISO da LogRhythm, empresa de soluções de segurança, cultivou um relacionamento com um membro do conselho que tinha formação técnica e o procurou como mentor para ajudá-lo a se preparar para as reuniões, revisar o material enviado e defender as estratégias de segurança. Carder aconselha que outros CISOs façam o mesmo.

8. Ser direto

Os CISOs estão acostumados a apresentações em conferências onde são mostradas inúmeras informações antes de se chegar ao ponto principal, mas esse tipo de abordagem não funciona bem para os conselhos, que valorizam o tempo. Para se adaptar ao que é esperado pela diretoria, o CISO deve ser direto ao ponto desde o início, afinal, o conselho quer saber de antemão o motivo da sua presença. Além disso, os CISOs podem fornecer informações de suporte conforme o tempo permitir, sabendo que os membros do conselho podem acessar qualquer dado necessário no material escrito enviado antes da reunião.

9. Utilizar linguagem acessível

Carder diz que uma vez comunicou excessivamente seu trabalho de segurança ao conselho, um erro que ele percebeu cometer quando os membros do conselho repetidamente tiveram que parar a sua apresentação para perguntar sobre os termos que ele estava usando e os conceitos que estavam sendo descritos. "Eu presumi que eles sabiam certa terminologia de tecnologia de segurança, e então percebi que estava exagerando na comunicação de todos esses detalhes."

10. Apresentar o valor comercial

Muitos CISOs têm dificuldade em calcular o ROI dos negócios, mas o que os conselhos querem saber é o impacto comercial de seus investimentos em segurança. Dessa forma, aconselha-se que os CISOs não se concentrem nos custos de novas tecnologias, mas no valor que os investimentos trazem para a organização.

 

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail