Home > Gestão

12 dicas para apresentar a segurança cibernética ao conselho

Não erre o alvo. Siga estas práticas recomendadas e evite erros comuns ao comunicar os riscos e os planos de mitigação

Mary K. Pratt, CSO/EUA

29/03/2019 às 11h04

Foto: Shutterstock

A segurança cibernética vem se transformando em uma das principais preocupações dos conselhos de administração.

Pesquisa recente da National Association of Corporate Directors revelou que 42% dos quase 500 líderes ouvidos consideram os riscos de segurança cibernética como uma das cinco preocupações mais prementes que estão enfrentando - logo atrás de mudanças regulatórias e da desaceleração econômica.

Como resultado, os executivos de segurança estão sendo chamados cada vez mais pelo conselhos para informá-los sobre os riscos que enfrentam e as estratégias para mitigá-los.

"Mais boards estão dizendo: 'Fale conosco, conte-nos o que precisamos saber'", diz Gary Hayslip, CISO da empresa de segurança na Internet Webroot.

No entanto, muitos membros do conselho acham que não estão recebendo as informações de que necessitam de seus diretores de Segurança da Informação.

“Os membros do conselho estão falando sobre risco cibernético, e os comitês de risco e auditoria estão gastando muito tempo com os CISOs e, em geral, estão insatisfeitos com a experiência”, diz David Chinn, sócio sênior da McKinsey & Co.

Há etapas que os CISOs podem adotar para evitar essas avaliações negativas. Aqui, vários líderes experientes compartilham seus conselhos para as apresentações ao conselho:

1. Prepare-se melhor

Executivos experientes e consultores de liderança dizem que os CISOs (especialmente aqueles com tempo limitado antes dos conselhos) precisam fazer um trabalho de preparação mais focado ou até receber treinamento específico. Por exemplo, preparar relatórios escritos para distribuição aos membros do conselho nas semanas que antecedem a apresentação ao conselho.

Antes de Hayslip conversar com o board pela primeira vez, ele pediu a seu CFO para conectá-lo a um diretor que estaria disposto a ajudá-lo a se preparar para sua apresentação. "Se vou me reportar ao conselho e nunca falei com eles antes, não quero entrar frio no ambiente, sem saber que tipo de perguntas eles farão. Sem saber o que eles querem saber”, diz ele.

2. Ofereça uma avaliação

Hayslip diz que o trabalho de preparação junto com suas experiências subsequentes em apresentações a conselhos ensinou-lhe algo sobre o que os diretores querem saber - ou seja, uma avaliação da postura de segurança cibernética da empresa e como ela precisa melhorar.

“Diga a eles onde você está e onde precisa estar. E toda vez que estiver diante deles, compartilhe informações sobre novos riscos e novas oportunidades para melhorar, com base nas informações apresentadas anteriormente”, diz ele. "Diga a eles, é aqui que estamos, essas são nossas fraquezas e esses são o riscos que corremos. A partir de um perfil de ameaça, isso é o que devemos priorizar e por que ... e onde estamos contra os concorrentes".

3. Seja transparente

As avaliações não devem ofuscar os riscos para a empresa, dizem os especialistas, para que os CISOs sejam diretos e apresentem informações relevantes de maneira direta e acessível.

“Muitas organizações têm um departamento de inteligência contra ameaças, e estão empacotando essas informações para o conselho, para que os membros do conselho se sintam como se soubessem”, diz Chinn. “Os membros do conselho querem saber o risco da empresa, o impacto comercial desse risco, até que ponto seus investimentos se transformaram em controles e se efetivamente levaram a uma redução significativa no risco.”

Ele cita como um forte exemplo de como oferecer tal informação uma organização onde o CISO implementou um aplicativo de autoatendimento que os membros do conselho poderiam usar para acessar essas informações sob demanda.

4. Antecipe-se às perguntas (complicadas)

A sala de reuniões não é lugar para surpresas. Rob Clyde, presidente do conselho de administração da associação de governança de TI ISACA, aconselha os CISOs a antecipar as perguntas que receberão dos membros do conselho - particularmente as perguntas mais difíceis de responder, como "Quão boa é a nossa segurança?" ou "Estamos seguros?"

Os CISOs muitas vezes lutam para responder adequadamente a esses tipos de perguntas e, como resultado, tendem a fornecer respostas inadequadas ou confusas ao responder na hora, diz Clyde.

Ele aconselha os CISOs a pensar no futuro e desenvolver respostas diretas. Ele também recomenda que os CISOs usem uma matriz de maturidade de segurança cibernética como a oferecida pelo Instituto CMMI, da ISACA, para oferecer uma resposta articulada e esclarecedora a essas perguntas difíceis.

Da mesma forma, ele diz que os CISOs não devem surpreender o conselho, outros executivos e o CEO com suas respostas. Clyde diz que os CISOs devem compartilhar antecipadamente suas respostas às perguntas; de fato, os CISOs devem ter certeza de que seus CEOs serão informados sobre qualquer informação que pretendem apresentar, de modo que não estejam colocando seus CEOs em situações embaraçosas.

5. Seja honesto sobre limites

Em uma nota relacionada, executivos experientes dizem que os CISOs devem ser realistas ao responder a perguntas sobre risco organizacional e postura de segurança cibernética - mesmo que eles temam que suas respostas possam torná-los ineficazes. “Alguns conselhos perguntarão: 'Somos 100% seguros?' Você nunca deve responder afirmativamente ou responder de forma imprecisa, dando garantias infundadas ”, diz Clyde.

6. Mas não assuste o board

Os CISOs vêem o volume e a sofisticação crescentes dos ataques de segurança cibernética, portanto, não surpreende que se sintam tentados a compartilhar essas informações com suas diretorias, enquanto explicam os recursos de que precisam para neutralizar todas essas ameaças.

“Você tem alguns CISOs que entram e listam todas as coisas ruins que estão acontecendo e fazem parecer que o teto está desabando”, diz Hayslip, “mas gerar [um clima de] medo, incerteza e dúvida não funciona".

Os conselhos certamente querem dados, diz ele, mas desejam essas informações de maneira a permitir que tomem decisões informadas sobre onde colocar melhor seus investimentos em segurança para mitigar seus maiores riscos.

7.  Procure ter um aliado

James Carder, CISO da LogRhythm, empresa de soluções de segurança, cultivou um relacionamento com um membro do conselho que tinha uma formação técnica e o procurou como mentor para ajudá-lo a se preparar para as reuniões do conselho, revisar o material enviado ao conselho e defender a segurança. estratégias em seu nome.

Ele aconselha outros CISOs a fazer o mesmo.

“Consiga um aliado no board que possa te dar feedbacks antes de você se apresentar ao conselho, aconselhando sobre quais palavras usar e o que vai ressoar com o resto dos membros. Esse aliado pode ter conversas sobre segurança com a diretoria quando você não está lá e orientar as mudanças que você deseja aprovar”, diz Carder.

8. Seja direto

CISOs estão acostumados a apresentações que não abordem diretamente o ponto principal.

“O conselho quer saber de antemão por que você está lá ”, diz Clyde. "E se há algo sobre o qual o conselho precisa agir - por exemplo, eles precisam considerar a compra de seguro de segurança cibernética ou formatar uma política para pagamentos de resgate caso haja um ataque de ransomware - identifique isso e identifique isso imediatamente".

Você pode fornecer informações de suporte conforme o tempo permitir, já que os membros do conselho poderão acessar qualquer informação necessária no material escrito enviado antes da reunião.

9. Ignore a conversa sobre tecnologia

Carder diz que uma vez comunicou excessivamente seu trabalho de segurança ao conselho. Um erro que ficou bem claro quando os membros do conselho tiveram que interromper repetidamente sua apresentação para perguntar sobre os termos que ele estava usando e os conceitos que ele estava descrevendo.

"Presumi que eles sabiam certa terminologia sobre tecnologias de segurança", diz ele, "e então percebi que estava exagerando na comunicação de todos esses detalhes".

Desde então ele passou concentrar a conversa em pontos de alto nível em segurança e a apresentar as informações em termos comerciais simples, sem descer a detalhes técnicos.

10. Apresente o valor comercial

Muitos CISOs têm dificuldade em calcular o ROI dos negócios de seus investimentos em segurança, mas o que os conselhos querem saber é o impacto dos riscos e dos investimentos em segurança para o negócio.

É isso que o Hayslip pretende oferecer. “Mostro como meus programas impactam as equipes que ganham dinheiro; e como estamos ajudando-os a fazer o que fazem”, diz ele.

Hayslip já trabalhou em uma empresa que tinha cerca de 50 máquinas off-line a cada mês devido a malware, então ele investiu em tecnologias para reduzir essa média mensal. Quando compareceu ao conselho, não se concentrou no custo das novas tecnologias, mas no valor que o investimento trouxe para a organização por meio de menores custos de remediação e redução do tempo de inatividade.

"Esse é o tipo de história de valor que você deve abordar, além do fato de estar reduzindo o risco", diz ele.

11. Determine medidas de sucesso

Os CEOs devem refletir se estão transmitindo informações de forma adequada aos seus conselhos, sabendo que a forma como comunicam os impactos de suas estratégias de segurança está diretamente relacionada com o quanto de apoio e financiamento obterão para sua estratégia de segurança, diz Chinn.

Ele conhece um CISO que julga o seu sucesso nesta área pela forma como os membros do conselho reagem quando as violações de dados corporativos são notícia. "Ele diz que sabe que está fazendo um bom trabalho quando os membros do conselho fazem perguntas inteligentes ou nenhuma pergunta após uma notícia de uma violação, porque mostra que eles confiam nele como CISO", diz Chinn.

12. Capitalize a oportunidade

Os CISOs devem se apresentar para a diretoria completa, diz Clyde, observando que muitos CISOs não conversam com a diretoria como um todo, mas com comitês de auditoria e risco. E eles devem tomar a iniciativa de entrar nas agendas de seus conselhos, se já não estiverem.

Além disso, os CISOs devem ver seu tempo na frente dos conselhos como oportunidades para evangelizar sobre a importância de um programa de cibersegurança forte, bem como para educar sobre os pontos fortes, lacunas e estratégias da função de segurança cibernética da organização.

A ISACA recomenda que os CISOs se reúnam com suas diretorias pelo menos uma vez por ano, diz Clyde.

"É sobre a construção de confiança", diz Hayslip. “O conselho pode ver que você está fazendo as coisas e saber que você não apenas conhece seu trabalho, como entende o negócio e está alinhando seu programa de segurança para dar suporte ao que é importante para a organização”.

 

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail