0
0
Todo diretor executivo de segurança sabe que um dos aspectos mais importantes – e talvez desafiadores – do trabalho é obter o financiamento necessário para apoiar o programa de segurança cibernética. A pessoa que toma a tomada de decisão sobre orçamento é muitas vezes o CFO, então os CISOs seriam sábios em aprender as melhores maneiras de interagir com esses profissionais de finanças.
“A relação CFO/tesoureiro-CISO é fundamental para entender como a [organização] mede o sucesso, o que ajuda na melhor forma de medir e comunicar as ameaças cibernéticas que enfrenta”, diz Arthur Treichel, CISO do Estado de Maryland.
Aqui estão algumas das melhores práticas para CISOs ao trabalhar com o CFO em sua organização.
Fale o idioma do CFO
Os CISOs gostam de usar métricas relacionadas à atividade de segurança cibernética, diz Frank Dickson, vice-presidente do programa Security & Trust da empresa de pesquisa International Data Corp. (IDC). Isso inclui métricas como o número de alertas abordados, tempo médio para responder, tempo médio para remediar e tempo de permanência.
Esses são conceitos em que os chefes de finanças provavelmente não se interessarão, então faz pouco sentido trazê-los à tona nas discussões com esses executivos. “Os CFOs estão procurando métricas associadas à postura de risco e segurança”, diz Dickson. “Essencialmente, os CFOs querem saber se a organização é ‘segura’. Comunicar informações de atividades de segurança frustra os CFOs, pois não fornece as informações que eles desejam.”
Uma boa prática é que o CISO e o CFO se sentem e estabeleçam um conjunto de métricas que comuniquem as informações necessárias, diz Dickson. “Isso não significa que o CISO ensine ao CFO tudo sobre segurança cibernética”, diz ele. “Isso significa que um CISO muda a maneira como ele ou ela se comunica.”
Para executivos de segurança, conversar com o CFO “às vezes pode parecer um desafio”, diz Andy Ellis, sócio operacional da empresa de capital de risco YL Ventures e ex-CSO. “O CFO parece governar um domínio que é inteiramente sobre o registro de dados concretos e factuais. O CISO, por outro lado, está frequentemente falando sobre risco em termos nebulosos e vagos.”
Aproveite modelos econômicos ricos em dados para quantificar o risco
Seguindo as linhas de falar a linguagem do CFO, os CISOs devem usar modelos econômicos sempre que possível. “Adotar um modelo de risco de informação econômica, como a Análise Fatorial de Risco de Informação (FAIR), do FAIR Institute, permite que você expresse o risco de informação em termos financeiros que o CFO – bem como o resto da equipe executiva e do conselho de administração – entenderão facilmente”, diz Bradley Schaufenbuel, vice-presidente e CISO da Payche
“Adotar um modelo econômico para quantificar o risco de informação tem o benefício adicional de garantir que você esteja priorizando os esforços de redução de risco mais impactantes e otimizando os gastos com segurança cibernética, que é, em última análise, o que o CFO quer do CISO”, diz Schaufenbuel.
Os modelos econômicos devem ser ricos em dados. “Devido à natureza de seu trabalho, a maioria dos CFOs toma decisões baseadas em dados”, diz Schaufenbuel. “Os dados são muito mais objetivos e difíceis de manipular do que opiniões subjetivas ou palpites. Um dos melhores investimentos que você pode fazer para melhorar a eficácia de suas mensagens para um CFO, bem como para outros executivos da C-suite, é apoiar os pontos que você está fazendo com dados relevantes.”
Comunique-se regularmente
Uma vez que um CISO tenha dominado a linguagem do CFO, é aconselhável se comunicar regularmente. Interações frequentes podem ajudar a manter os CFOs informados sobre as mais recentes ameaças, vulnerabilidades, ferramentas, padrões de segurança cibernética, etc., e manter os CISOs cientes da situação financeira/orçamentária na organização.
Isso é especialmente verdadeiro, dado o cenário de segurança em rápida mudança, com novas ameaças constantemente surgindo e novas soluções chegando ao mercado. “A comunicação precisa ser proativa e frequente, mas também sucinta”, diz Dickson. Os CFOs não estão interessados em se tornarem especialistas em segurança cibernética, diz ele. Eles só querem garantias de que a organização está adequadamente protegida e querem estar cientes do perfil de risco da organização.
Invista em sua própria alfabetização financeira
Não basta transmitir o valor da segurança cibernética usando modelos financeiros; os CISOs precisam entender o funcionamento das finanças para trabalhar efetivamente com o CFO. “Para realmente ganhar seu assento na mesa executiva, um CISO precisa ser alfabetizado financeiramente”, diz Schaufenbuel. “Se você não entender a diferença entre uma demonstração de resultados e um balanço e as nuances entre uma despesa operacional e um investimento de capital são um mistério para você, será difícil para você ganhar o respeito de seus colegas no C-suite, mas especialmente o do CFO.”
Conseguir um MBA foi facilmente o melhor investimento que Schaufenbuel fez em seu próprio desenvolvimento profissional, diz ele. “Onde um diploma avançado não é prático, alguns cursos on-line em conceitos básicos de contabilidade e finanças são melhores do que tentar navegar no C-suite sem alfabetização financeira”, diz ele.
Claro, o CISO pode ajudar a educar os líderes financeiros e suas equipes sobre questões básicas de segurança, sem entrar no capuninha. “Em alguns casos, para mim, os melhores relacionamentos com o CFO ou tesoureiro começaram com um incidente”, diz Treichel. “Os funcionários financeiros são um alvo ideal — campanhas de phishing/vishing/malware direcionadas a funcionários que podem autorizar transações são muito comuns. Tirar um tempo extra para educar e trabalhar com essas equipes reduzirá o risco e construirá um relacionamento com o CFO.”
Entenda o processo orçamentário
Na maioria das organizações, os CFOs não controlam o orçamento. Eles controlam o processo orçamentário, diz Ellis. “Essa é uma distinção sutil, mas importante. Se sua empresa tem um ciclo orçamentário anual em que o orçamento do ano é “definido” em novembro, há um processo de elaboração do orçamento de meses nos meses anteriores. Se você aparecer em novembro com um novo pedido de orçamento, é claro que receberá um empurrão, independentemente da importância da sua necessidade.”
Mesmo que a empresa retenha parte do orçamento para surpresas, Ellis diz: “você está dificultando o trabalho de todos e denegrindo seu trabalho, trabalhando fora do processo”.
Quando os CISOs precisam trabalhar fora do processo por causa de alguma urgência inesperada, eles precisam entender a dificuldade que isso está causando e ver se podem ajudar. “As chances são de que, se você precisar de dinheiro fora do ciclo, isso tenha que vir do orçamento de outra pessoa”, diz Ellis.
Não negligencie o planejamento
Um bom planejamento de segurança cibernética é importante por si só, mas é especialmente importante para lidar com o CFO e outros executivos financeiros. “CFOs odeiam surpresas”, diz Dickson. “A última coisa que um CFO quer é uma surpresa inesperada no final de um ano fiscal.”
É uma boa ideia atualizar os planos regularmente, incluindo qualquer coisa relacionada a novos investimentos em ferramentas e serviços de segurança. Também é bom planejar para o futuro. Os ciclos típicos de planejamento de TI de 12 meses precisam chegar ao fim, diz Dickson. “Os planos precisam ser plurianuais e abrangentes em TI e segurança”, diz ele.
O planejamento plurianual não só pode melhorar a eficácia da segurança, mas também aumentar a previsibilidade, diz Dickson. “A ameaça de despesas imprevistas é drasticamente reduzida”, diz ele. “Além disso, a ameaça de despesas imprevistas também pode ser iluminada, assim o CFO pode optar por fazer concessões.”
Análise subjetiva e objetiva separada
Fora de alguns espaços estreitos, como fraude, quase toda análise de segurança é subjetiva, diz Ellis. “Mesmo os métodos aparentemente quantitativos [estão] realmente apenas fingindo”, diz ele. “Sob as capas, são realmente apenas classificações subjetivas que, em seguida, têm números grampeados no topo.”
Isso não é exclusivo das equipes de segurança, diz Ellis. “As equipes financeiras geralmente têm previsões que contêm alguma medida de subjetividade nelas”, diz ele. “Mas uma análise financeira com subjetividade geralmente é chamada, cuidadosamente identificada e inspecionada após o fato de que era imprecisa.”
Suposições de segurança, por outro lado, raramente se prestam a análises críticas, diz Ellis. “Os CISOs falam sobre o retorno do investimento em segurança usando suposições sobre a probabilidade que são retiradas do nada e, em seguida, reivindicam crédito se algo não der errado ou culpam os outros se o fizer”, diz ele. “Ao falar com um CFO, reconhecer as suposições que entram em nossas previsões é um início de conversa. Não exagere em sua capacidade preditiva, e você pode encontrar um parceiro que tenha mais empatia por seus desafios.”
FONTE: CSO ONLINE