Autora: Mary K. Pratt

Resultado de imagem para reunião board

12 dicas para apresentar a estratégia de Segurança Cibernética à sua Diretoria. Não erre o alvo, siga estas práticas recomendadas e evite erros comuns ao comunicar o risco de segurança cibernética ao quadro.

O excelente artigo do site CSO Online que reproduzimos aqui em português, trás 12 conselhos e orientações muito úteis para os CISOs e CSOs que tiverem a oportunidade de se apresentarem ao conselho ou ao board executivo da empresa.

A segurança cibernética atualmente é uma das principais preocupações dos conselhos de administração, por isto é importante comunicarmos bem o nosso plano e vender bem “o nosso peixe” para conseguirmos mostrar o que queremos e precisamos.

Segundo o CSO Online, 42% dos quase 500 líderes pesquisados ​​pela Associação Nacional de Diretores Corporativos listaram os riscos de segurança cibernética como uma das cinco preocupações mais urgentes que estão enfrentando – logo atrás de mudanças no clima regulatório e de uma desaceleração econômica.

Como resultado, os executivos de segurança estão indo cada vez mais diante dos conselhos para informá-los sobre os riscos que enfrentam e as estratégias para mitigá-los.

Mais boards estão dizendo: ‘Fale conosco, conte-nos o que precisamos saber’”, diz Gary Hayslip, CISO da empresa de segurança na Internet Webroot e membro veterano do conselho.

No entanto, muitos membros do conselho acham que não estão recebendo as informações de que precisam de seus diretores de segurança de informações.

Os membros da diretoria estão falando sobre risco cibernético, e os comitês de risco e auditoria estão gastando muito tempo analisando os CISOs e, em geral, estão insatisfeitos com a experiência“, diz David Chinn, sócio sênior da McKinsey & Co.

Há etapas que os CISOs podem adotar para evitar essas avaliações negativas, assim vamos o objetivo aqui é aprender com vários líderes experientes que compartilham seus conselhos com o site CSO Online para apresentar ao conselho:

1. Faça mais trabalho de preparação

Os executivos devem preparar relatórios escritos para distribuição aos membros do conselho nas semanas que antecedem a apresentação ao conselho pessoalmente. Alguns pensam que o trabalho avançado é suficiente, mas executivos experientes e consultores de liderança dizem que os CISOs (especialmente aqueles com tempo limitado antes dos conselhos) precisam fazer um trabalho de preparação mais focado ou até receber treinamento específico.

Antes de Hayslip apresentar a uma nova diretoria pela primeira vez, ele pediu a seu CFO para conectá-lo a um diretor que estaria disposto a ajudá-lo a se preparar para sua apresentação. “Se eu for me reportar ao board e nunca tiver falado com eles antes, eu não quero entrar ‘frio’ perante a diretoria. Eu não sei que tipo de perguntas eles farão. Eu não sei o que eles querem saber. Então, falarei com meus colegas, peço a outros executivos que se reportem ao quadro e recebam seu feedback – quem está lá, como eles são, que perguntas eles fazem – então eu vou saber com quem vou falar e como eles gostam de ter dados apresentados ”, diz ele.

2. Oferecer uma avaliação

Hayslip diz que o trabalho de preparação junto com suas experiências subsequentes em apresentações a conselhos lhe ensinou algo sobre o que os diretores querem saber – ou seja, uma avaliação da postura de segurança cibernética da empresa e como ela precisa melhorar.

Diga a eles onde você está e onde precisa estar. E toda vez que você entra, você compartilha informações sobre novos riscos e novas oportunidades para melhorar, com base nas informações apresentadas na [apresentação] anterior ”, diz ele. “Diga a eles, aqui é onde estamos, aqui é onde estamos imaturos e onde estão os riscos, e a partir de um perfil de ameaça, isso é o que devemos priorizar e por que … e onde estamos contra os concorrentes“.

3. Seja transparente

As avaliações não devem ofuscar os riscos para a empresa, dizem os especialistas, portanto, os CISOs devem ser diretos e apresentar informações relevantes de maneira direta e acessível.

Muitas organizações têm um departamento de inteligência contra ameaças, e elas estão empacotando essas informações para o conselho, para que os membros do conselho se ‘sintam’ informados “, diz Chinn. “Os membros do conselho querem saber o risco da empresa, o impacto comercial desse risco, até que ponto seus investimentos se transformaram em controles e se ele produziu uma redução significativa no risco.

Ele cita exemplo de como oferecer tal informação de forma efetiva,  uma organização onde o CISO implementou um aplicativo de autoatendimento que os membros do conselho poderiam usar para acessar essas informações sob demanda.

4. Antecipe as perguntas (complicadas)

A sala de reuniões não é lugar para surpresas. Rob Clyde, presidente do conselho de administração da associação de governança de TI ISACA, aconselha os CISOs a antecipar as perguntas que receberão dos membros do conselho – particularmente as perguntas mais difíceis de responder, como “Quão boa é a nossa segurança?” e “estamos seguros?

Os CISOs muitas vezes lutam para responder adequadamente a esses tipos de perguntas e, como resultado, tendem a fornecer respostas inadequadas ou confusas ao responder na hora, diz Clyde.

Ele aconselha os CISOs a pensar no futuro e desenvolver respostas diretas. Ele também recomenda que os CISOs usem uma estrutura de maturidade de segurança cibernética, como a oferecida pelo Instituto CMMI da ISACA, para oferecer uma resposta articulada e perspicaz a essas perguntas difíceis.

Da mesma forma, ele diz que os CISOs não devem surpreender o conselho, outros executivos e o CEO com suas respostas a essas perguntas. Clyde diz que os CISOs devem compartilhar suas respostas às perguntas antecipadas com seus CEOs; na verdade, os CISOs devem ter certeza de que seus CEOs serão informados sobre qualquer informação que apresentarem para que não coloquem seus CEOs em situações embaraçosas.

5. Seja honesto sobre limites

Em uma nota relacionada, executivos experientes dizem que os CISOs devem ser realistas ao responder a perguntas sobre risco organizacional e postura de segurança cibernética – mesmo que eles temam que suas respostas possam torná-los ineficazes. “Alguns conselhos perguntarão: ‘Somos 100% seguros?’ Você nunca deve responder afirmativamente ou responder de maneira imprecisa ao dar garantias infundadas”, diz Clyde.

6. Mas não assuste o conselho

Os CISOs vêem o volume crescente e a sofisticação crescente dos ataques de segurança cibernética, portanto, não é surpresa que eles procurem compartilhar essas informações com suas diretorias enquanto explicam os recursos de que precisam para neutralizar todas essas ameaças.

Você tem alguns CISOs que entram e listam todas as coisas ruins que estão acontecendo e fazem parecer que o céu está caindo”, diz Hayslip, “mas que [clima de] medo, incerteza e dúvida não funcionam realmente para o baard, e um CISO pode fugir com ele uma vez, mas tudo o que ele vai fazer é ser colocado para fora do board, se ele fizer isso de novo.”

Os conselhos certamente querem dados, diz ele, mas desejam essas informações de maneira a permitir que tomem decisões informadas sobre onde colocar melhor seus investimentos em segurança para mitigar seus maiores riscos.

7. Receba um campeão

James Carder, CISO da LogRhythm, empresa de soluções de segurança, cultivou um relacionamento com um membro do conselho que tinha uma formação técnica e o procurou como mentor que poderia ajudá-lo a se preparar para as reuniões do conselho, revisar o material enviado ao conselho e defender as  estratégias de segurança em seu nome.

Ele aconselha outros CISOs a fazer o mesmo.

Consiga um Sponsor no tabuleiro. Eles lhe darão feedback antes de você se apresentar ao conselho, [aconselhar sobre] quais palavras são importantes e o que vai ressoar com o restante dos membros. E esse Sponsor pode ter as conversas sobre segurança com a diretoria quando você não está lá e orientar as alterações desejadas ”, diz Carder.

8. Chegue ao ponto

Os CISOs estão acostumados a apresentações em conferências em que há um aumento no ponto principal, mas esse tipo de abordagem não funciona bem para os quias o tempo é precioso.

Não segure a piada. Chegue ao ponto desde o começo. O conselho quer saber de antemão por que você está lá ”, diz Clyde. “E se há algo em que o conselho precisa agir – por exemplo, eles precisam considerar a compra de seguro de segurança cibernética ou descobrir uma política para pagar resgate caso haja um ataque de ransomware – identifique isso e identifique isso imediatamente“.

Ele diz que os CISOs podem fornecer informações de suporte conforme o tempo permitir, percebendo que os membros do conselho podem acessar qualquer informação necessária no material escrito enviado antes da reunião.

9. Ignorar a conversa sobre tecnologia

Carder diz que uma vez comunicou excessivamente seu trabalho de segurança ao conselho, um erro que ele soube que fazia quando os membros do conselho repetidamente tiveram que interromper sua apresentação para perguntar sobre os termos que ele estava usando e os conceitos que ele estava descrevendo.

Eu presumi que eles sabiam certa terminologia de tecnologia de segurança“, diz ele, “e então percebi que estava exagerando na comunicação de todos esses detalhes ao invés de ser mais conciso e comunicar os riscos“.

Carder agora está mais consciente de deixar de lado informações profundamente técnicas de sua apresentação; não há detalhes sobre as explorações mais recentes ou as mais novas tecnologias de prevenção de perda de dados ou fornecedores SIEM ou produtos de detecção de invasão. Em vez disso, ele concentra a conversa em pontos de alto nível em segurança e apresenta as informações em termos comerciais simples.

10. Apresentar o valor comercial

Muitos CISOs têm dificuldade em calcular o ROI dos negócios de seus investimentos em segurança, mas o que os conselhos querem saber é o impacto nos negócios de seus riscos e investimentos em segurança.

É isso que o Hayslip pretende oferecer. “Mostro como meus programas impactam as equipes que ganham dinheiro; procuro mostrar como estamos ajudando-os a fazer o que fazem “, diz ele.

Ele já trabalhou em uma empresa que tinha cerca de 50 máquinas colocada offline a cada mês devido a malware, então ele investiu em tecnologias para reduzir essa média mensal. Quando ele compareceu ao conselho, a Hayslip não se concentrou no custo das novas tecnologias, mas no valor que o investimento trouxe para a organização por meio de menores custos de remediação e menor tempo de inatividade.

Esse é o tipo de história de valor sobre a qual você precisa falar, além do fato de estar reduzindo o risco“, diz ele.

11. Determinar medidas de sucesso

Os CEOs devem refletir se eles estão transmitindo informações de maneira adequada para suas diretorias, sabendo que o nível de comunicação dos impactos comerciais de suas estratégias de segurança está correlacionado ao suporte e ao financiamento que receberão pela estratégia de segurança, diz Chinn.

Chinn conhece um CISO que julgou o seu sucesso nesta área pela forma como os seus membros do conselho reagem quando as violações de dados corporativos são as notícias.

Ele diz que sabe que está fazendo um bom trabalho informando ao conselho quando os membros do conselho fazem perguntas inteligentes ou nenhuma pergunta após a notícia de uma violação, porque mostra que eles confiam nele como CISO“, diz Chinn.

12. Capitalize a oportunidade

Os CISOs devem apresentar-se para a diretoria completa, diz Clyde, observando que muitos CISOs não apresentam a diretoria como um todo, mas para os comitês de auditoria e risco. E eles devem tomar a iniciativa de entrar nas agendas de seus conselhos, se ainda não estiverem.

Além disso, os CISOs devem ver seu tempo na frente dos conselhos como oportunidades para evangelizar sobre a importância de um programa de cibersegurança forte, bem como para educar sobre os pontos fortes, lacunas e estratégias da função de segurança cibernética da organização. A ISACA recomenda que os CISOs se reúnam com suas diretorias pelo menos uma vez por ano, diz Clyde.

É sobre construir confiança“, diz Hayslip. “A diretoria pode ver que você está realizando tarefas e sabe não apenas que você conhece seu trabalho, mas que entende o negócio e está alinhando seu programa de segurança para dar suporte a isso.

Fonte: CSO Online