Pode apostar que, hoje em dia, a sua diretoria está pronta para ir muito além do básico em relação às perguntas de segurança digital. Afinal, atualmente, os conselhos estão mais informados e preparados para desafiar a eficácia dos programas de segurança de suas empresas. Isso acontece porque eles estão tendo diálogos mais complexos e matizados com os líderes de gerenciamento de segurança e risco. Tudo, graças à necessidade de alcançar ambições digitais em meio a ameaças crescentes de segurança cibernética para equipes remotas.
Portanto, é altamente improvável que eles façam perguntas básicas de segurança como:
Quão seguros estamos?
Por que precisamos de mais dinheiro para segurança, quando acabamos de aprovar o X no ano passado?
Como assim, fomos hackeados cem vezes?
Na verdade, ao invés disso, as perguntas sobre segurança serão muito mais específicas e precisas em suas sondagens.
“Os líderes de segurança e gerenciamento de risco muitas vezes lutam para responder às perguntas do conselho sobre segurança que são moldadas por relatórios da mídia. Contudo, isso leva a uma quebra de confiança entre líderes de negócios e líderes de tecnologia”, disse Sam Olyaei, analista diretor do Gartner.
Portanto, cabe a você preparar respostas que conduzam a discussão em direção à garantia, conformidade e suporte para práticas de segurança. Afinal, além das paixões e preocupações individuais, os conselhos se preocupam coletivamente com três coisas:
- Receita / missão: receita operacional ou não operacional e melhoria dos objetivos da missão não lucrativa;
- Custo: prevenção de custos futuros e redução imediata das despesas operacionais;
- Risco: financeiro, mercado, conformidade regulatória e segurança, inovação, marca e reputação.
No entanto, as perguntas do conselho podem ser categorizadas nesses cinco grupos a seguir:
1 – A questão do incidente
Com o que parece: como isso aconteceu? Achei que você tinha tudo sob controle. O que deu errado?
Por que perguntam?
Essas perguntas sobre a segurança surgem quando um incidente ou evento ocorreu e o conselho já sabe sobre isso ou o diretor de segurança da informação (CISO) os está informando sobre o assunto. Isso é particularmente relevante agora, quando os conselhos podem fazer perguntas específicas para proteger a organização enquanto uma grande parte dos funcionários está trabalhando em casa. Contudo, essas perguntas também podem surgir em referência a qualquer outro incidente, incluindo violações de dados que podem ter impactado a organização em geral.
Como responder
Um incidente (independentemente da categoria) é inevitável, portanto, atenha-se aos fatos. Ou seja, compartilhe o que você sabe e o que está fazendo para descobrir algo que ainda não sabe. Resumindo, reconheça o incidente, forneça detalhes sobre o impacto nos negócios, descreva os pontos fracos ou lacunas que precisam ser resolvidos e forneça um plano de mitigação.
Entretanto, tenha cuidado para não endossar uma opção como a escolha final quando estiver na frente do conselho. Afinal, a responsabilidade pela supervisão da segurança e risco permanece com o líder de segurança, mas a responsabilidade deve sempre ser definida no nível do conselho / executivo.
2 – A questão do trade-off
Com o que parece: estamos 100% seguros? Tem certeza?
Por que perguntam?
Perguntas sobre segurança como essa geralmente vêm de membros do conselho que não entendem de verdade os riscos de segurança e o seu impacto nos negócios. Afinal, é impossível estar 100% seguro ou protegido. Portanto, sua função é identificar as áreas de maior risco e alocar recursos finitos para gerenciá-las com base no apetite do negócio.
Como responder
Comece com algo como: “Considerando a natureza em constante evolução do cenário de ameaças, é impossível eliminar todas as fontes de risco de informação. Minha função é implementar controles para gerenciar o risco. Afinal, conforme nosso negócio cresce, temos que reavaliar continuamente quanto risco é apropriado. Contudo, nosso objetivo é construir um programa sustentável que equilibre a necessidade de proteção com a necessidade de administrar nossos negócios. ”
3 – A questão da paisagem
Com o que parece: quão ruim está lá fora? E o que aconteceu na empresa X? Como estamos nos saindo em comparação com os outros?
Por que perguntam?
Os membros do conselho buscam relatórios de ameaças, artigos, blogs e pressão regulatória para entender os riscos. Então, eles sempre irão perguntar sobre o que os outros estão fazendo, especialmente organizações semelhantes. Além disso, eles querem saber como é o “clima” e como eles se comparam aos outros, por isso fazem essas perguntas sobre segurança.
Como responder
Evite adivinhar a causa raiz de um problema de segurança em uma empresa diferente, dizendo: “Não quero especular sobre o incidente na Empresa X até que mais informações estejam disponíveis, mas terei o maior prazer em fazer o acompanhamento com você quando eu souber mais”. Portanto, considere discutir uma série de respostas de segurança mais amplas, como identificar um ponto fraco semelhante e como você está atualizando os planos de continuidade de negócios.
4 – A questão do risco
Como o que parece: sabemos quais são os nossos riscos? O que te mantém acordado à noite?
Por que perguntam?
O conselho sabe que aceitar o risco é uma escolha. Se não sabe, esse é um desafio que você precisa enfrentar. Portanto, eles querem saber se os riscos da empresa estão sendo administrados, e você deve estar preparado para explicar a tolerância ao risco da organização. Afinal, apenas assim você conseguirá defender as decisões de gerenciamento de risco.
Como responder
Explique o impacto comercial das decisões de gerenciamento de risco e garanta que suas posições sejam apoiadas por evidências. A segunda parte é vital, porque os conselhos tomam decisões com base na tolerância ao risco. Quaisquer riscos acima do limite de tolerância requerem um remédio para trazê-los para uma área segura. Dito isso, isso não requer necessariamente mudanças dramáticas em curtos períodos de tempo. Ou seja, tome cuidado para não exagerar.
Lembre-se que a diretoria busca garantias de que você está gerenciando adequadamente os riscos materiais. Portanto, abordagens sutis e de longo prazo podem ser apropriadas em alguns casos. Afinal, o conselho é responsável pelo risco “corporativo”, do qual o risco cibernético é uma pequena, embora importante, parte. Então, desafie-se a ser breve e direto ao ponto. A falta de controle não é um risco e nem a próxima grande ameaça. Concentre-se nos itens de alto valor que você controla, como perda de propriedade intelectual, regulamentação e risco de terceiros.
5 – A questão de desempenho
Com o que parece: estamos alocando recursos de maneira adequada? Estamos gastando o suficiente? Por que estamos gastando tanto?
Por que perguntam?
A diretoria quer ter certeza de que os líderes de segurança e gerenciamento de risco não estão parados. Contudo também se interessa pelas métricas e o ROI da TI.
Como responder
Use uma abordagem de balanced scorecard que use um mecanismo simples de semáforo. A camada superior deve expressar as aspirações de negócios e o desempenho da organização em relação a essas aspirações. Tanto quanto possível, explique as aspirações em termos de desempenho de negócios, não de tecnologia. O desempenho, então, é sustentado por uma série de medidas de segurança que são avaliadas usando um conjunto de critérios objetivos.
