O sucesso de um CISO, tal como a longevidade do seu trabalho, geralmente depende do apoio do conselho administrativo. Portanto, confira as características mais importantes de um conselho administrativo que se preocupa com a segurança.
As taxas de rotatividade de CISO são lendárias. Então, suponha que você seja um dos muitos CISOs em busca de emprego e tenha dois ou três alvos em sua lista. Ou que talvez você esteja sendo recrutado por um possível empregador para ser o próximo CISO. Talvez você seja um executivo de segurança que deseja passar para o nível CISO. Ou você está apenas tentando comparar como seu conselho administrativo se comporta quando se trata de segurança. Afinal, independentemente do motivo, uma das primeiras coisas a considerar é a mentalidade de segurança do conselho administrativo da empresa.
Embora o conselho não gerencie as atividades de segurança do dia a dia, ele tem um papel bastante importante. Afinal, é o conselho administrativo que define a cultura, aprova as decisões financeiras e políticas relacionadas à segurança cibernética e é o responsável final se houver uma violação.
Então, como saber se um conselho administrativo é experiente em segurança cibernética? Quais são as características a procurar?
1. O conselho tem pelo menos um especialista em segurança?
Algumas empresas optaram por colocar um guru de segurança designado em seus conselhos. No entanto, William Guenther, chefe da organização sem fins lucrativos Advanced Cyber Security Center, diz que isso é apenas o primeiro passo no caminho para ter um conselho experiente em segurança. Afinal, um indicador importante de um conselho administrativo que é realmente cibernético é se há mais de um membro do conselho com experiência técnica / de segurança.
Por exemplo, o conselho de diretores da General Motors inclui o ex-VP de SI da Lockheed Martin, o cofundador e co-CEO da Workday, e o ex-CEO da Lucent Technologies, agora atual presidente da HPE.
2. O conselho faz boas perguntas?
Ninguém espera que os membros do conselho administrativo saibam como configurar um firewall. Contudo, você quer membros do conselho que não só possam receber informações de uma apresentação detalhada do CISO, mas também voltar com perguntas de sondagem, diz Michael Figueroa, um consultor de segurança independente.
No entanto, uma característica ainda melhor, e rara, é um conselho que não é movido pelo “incidente do dia”. Ou seja, capaz de fazer perguntas que a gestão corporativa nem sequer pensou, diz Guenther.
3. A cadeia de comando do conselho e a estrutura de subordinação colocam o CISO em uma posição de autoridade?
Por exemplo, se o conselho administrativo tem uma pergunta de segurança, esse fluxo de informações é filtrado por um CFO ou outro intermediário, ou há comunicação direta entre o conselho e o CISO. Além disso, em termos da estrutura organizacional formal da empresa, o CISO, que provavelmente se reporta ao CIO ou CEO, também tem uma ‘linha pontilhada’ diretamente para o conselho, diz Guenther.
4. O conselho conduz avaliações de risco regulares e detalhadas?
Conselhos preocupados com a segurança são capazes de identificar e categorizar suas “joias da coroa”. Ou seja, os ativos de dados mais críticos da empresa, e definir políticas para proteger esses ativos. No entanto, as empresas não podem proteger tudo e muitas vezes têm que tomar decisões sobre o nível de risco a aceitar. Portanto, outra característica fundamental de um conselho experiente em segurança é ter procedimentos em vigor para documentar essas decisões baseadas em risco, diz Trip Hillman, diretor de serviço de segurança cibernética da Weaver. Ele diz que é importante capturar esse “conhecimento tribal” por escrito, para que, se ocorrer um incidente de segurança, o conselho possa voltar e analisar as decisões que foram tomadas ao longo do caminho.
5. O conselho administrativo tem subcomitês voltados para a segurança?
Muitos conselhos têm subcomitês que visam áreas específicas, como gestão de riscos, auditoria e conformidade. Figueroa diz que as empresas experientes em segurança farão um loop no CISO porque todas essas áreas têm um componente de segurança importante. Figueroa acrescenta que os conselhos mais preocupados com a segurança também têm um subcomitê específico de segurança cibernética, embora isso seja raro.
6. O conselho se reúne regularmente com o CISO?
Guenther diz que está ciente de algumas organizações onde o CISO pode obter apenas 45 minutos uma vez por ano na frente do conselho administrativo. No entanto, isso claramente não é o suficiente. Especialmente com o cenário de ameaças mudando tão rápido. O que acaba acontecendo é que o CISO tenta amontoar 50 slides em uma apresentação que acaba passando batida por todos. Então, os conselhos devem ter atualizações do CISO na agenda várias vezes por ano, diz Guenther.
7. Os orçamentos de TI e de segurança cibernética são apresentados ao conselho juntos?
Os orçamentos cibernéticos precisam ser vistos como parte do orçamento geral de TI. Portanto, o CISO precisa ter permissão para apresentar o orçamento de segurança cibernética junto com o CIO. Guenther aponta que, se os conselhos veem a segurança simplesmente como uma despesa, eles estão perdendo oportunidades de melhorar a postura geral de segurança da organização. Por exemplo, uma das melhores ações relacionadas à segurança que uma empresa pode fazer é simplesmente desativar um sistema legado que não é mais suportado pelo fornecedor e se tornou um risco à segurança.
8. O conselho integra questões de segurança em todas as suas discussões?
Os conselhos tomam decisões estratégicas críticas com relação à transformação digital, fusões e aquisições, parcerias com terceiros, etc. Contudo, um conselho administrativo experiente em segurança incluirá o ângulo da segurança em todas essas discussões. Portanto, quando o CIO apresenta uma iniciativa de transformação digital, o CISO deve fazer parte dessa apresentação.
Então, quando um líder de negócios apresenta qualquer tipo de plano, deve haver uma discussão sobre as implicações de segurança.
9. O conselho administrativo recebe treinamento de segurança?
Não importa o quão sofisticado seja o conselho, sempre há valor no treinamento regular de segurança para os membros. Principalmente para que eles possam acompanhar as maneiras como as condições em mudança – COVID-19, trabalho remoto, gargalos da cadeia de suprimentos – podem criar novos desafios de segurança. Entretanto, esse tipo de treinamento deve ser conduzido por um especialista externo que possa fornecer uma perspectiva ampla da indústria, diz Hillman.
10. O conselho pratica uma boa higiene de segurança cibernética em suas próprias comunicações?
Uma característica de um conselho administrativo com consciência de segurança é se suas próprias comunicações internas são conduzidas com segurança, diz Hillman. Ou seja, o conselho se comunica por canais privados? Os documentos confidenciais são criptografados? Eles usam métodos seguros para videoconferência ou colaboração? Se a empresa estiver usando tecnologia de prevenção de perda de dados (DLP) ou implantando confiança zero para todos os seus funcionários, essas medidas de segurança estão sendo aplicadas ao conselho?
11. O conselho usa benchmarks para medir a preparação para a segurança?
As empresas rotineiramente conduzem todos os tipos de exercícios relacionados à segurança. É o caso de testes de penetração, avaliações de vulnerabilidade, equipe de defesa ou exercícios de equipe vermelha. No entanto, os resultados dessas atividades são comunicados ao conselho e usados como referências para ajudar a medir a preparação para a segurança ao longo do tempo? Hillman diz que os conselhos precisam avaliar coisas como taxas de gerenciamento de patches, controles de vulnerabilidade e resposta a incidentes.
12. O conselho administrativo faz um esforço determinado para impulsionar a cultura de segurança em toda a empresa?
Por exemplo, existe um programa forte de educação em segurança cibernética? O conselho pressiona para que a segurança cibernética faça parte de todas as atividades da empresa, desde a integração de novos funcionários até o treinamento anti-phishing contínuo?
13. O conselho administrativo cria um clima de compartilhamento de informações aberto e honesto?
Os conselhos dão o tom, não apenas no que fazem, mas também na maneira como conduzem os negócios, na atmosfera e no ambiente que criam. Por exemplo, se houver uma violação, o conselho procura um bode expiatório para culpar ou lança uma missão objetiva de apuração de fatos para determinar o que deu errado e quais medidas de mitigação podem ser tomadas para evitar mais incidentes? O CISO pode vir ao conselho e dar más notícias sem medo de ser ignorado ou punido? O relacionamento entre o conselho e o CISO permite comunicações rápidas e informais conforme a necessidade, fora das reuniões agendadas regularmente? Afinal, os comitês preocupados com a segurança devem ter um relacionamento forte e confiável com o CISO que ofereça suporte à comunicação bidirecional.
Você também pode contar com o suporte de uma empresa de TI terceirizada com experiência em segurança para auxiliar nessa frente.
Sobre a Infonova
A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.
A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.
Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.
Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI. Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.
Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.
Perfil Infonova
A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:
- Atendimento por demanda;
- Disponibilização de equipes com 1 técnico local e retaguarda especializada;
- Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores
O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança.
Soluções
A Infonova tem soluções voltadas para PMEs, Governo e Corporate. Contudo, todas essas soluções compreendem modelos flexíveis com início rápido e transição sem dor.
Confira a seguir:
Para saber mais sobre os serviços da Infonova, entre em contato pelo (11) 2246-2875 ou clique aqui.
Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.
E a gestão de TI é um desses investimentos importantes.
