0
0
Por pelo menos uma década, os líderes de segurança voltados para a carreira entenderam bem a importância de uma comunicação eficaz com o conselho e o CEO. Os CISOs sabem que devem obter a adesão desses tomadores de decisão para incutir com sucesso uma cultura voltada para a segurança em suas organizações – sem mencionar a aprovação de fundos suficientes para um orçamento eficaz de segurança cibernética.
O problema é que a maioria dos CISOs hoje ainda não consegue transformar essa consciência em ação. Embora os CISOs estejam se comunicando com o conselho e o C-suite mais do que nunca, eles ainda estão lutando para criar as narrativas certas que os ajudem a comunicar o risco ao conselho e impulsionar uma colaboração significativa entre a equipe de segurança e o resto do negócio.
Especialistas em segurança acreditam que os CISOs precisam repensar o conteúdo e o contexto de suas mensagens para atingir a marca de forma mais confiável com seus colegas executivos. E o mais importante, diz Andy Ellis, CISO consultivo da Orca Security, eles precisam reforçar sua linguagem e seus objetivos para cada interação.
“Os CISOs precisam pensar: ‘Qual é a menor quantidade de informação que precisamos dar para estimular a ação?'”, diz Ellis, que deve se apresentar na RSA na próxima semana sobre esse tópico e cujo novo livro, 1% Leadership, será lançado esta semana. “Literalmente, eu tenho um capítulo no meu livro intitulado, ‘Faça o menor argumento necessário para estimular a ação’.”
A boa notícia para os CISOs de hoje em comparação com os do passado é que os canais de comunicação entre eles, o conselho e o C-suite estão cada vez mais se abrindo. A lição é que será necessária uma comunicação muito mais clara e simples para que os CISOs obtenham melhores resultados de suas interações com seus conselhos.
Conselho do CISO relata com mais frequência, mas ineficaz
A boa notícia para os CISOs de hoje é que os canais de comunicação entre os CISOs, o conselho e o C-suite estão cada vez mais se abrindo. De acordo com a pesquisa “The State of CISO Influence 2023“, conduzida pela Dark Reading em nome da Coalfire, 28% dos CISOs apresentam atualizações mensais ao conselho – um aumento de 10 pontos percentuais apenas no ano passado. Além disso, mais da metade dos CISOs disseram que se reportam ao conselho pelo menos trimestralmente.
Infelizmente, apesar de todos os aumentos na frequência de comunicação entre os CISOs e a suíte executiva, essa comunicação ascendente permanece em grande parte ineficaz.
Os CISOs realistas que leem a sala sentem que estão perdendo seu público. No recente relatório “Voz do CISO” da Proofpoint, os líderes de segurança em grandes organizações relataram uma enorme queda no apoio ao conselho no ano passado. Apenas 51% dizem ter o apoio de seu conselho, em comparação com 71% que disseram o mesmo no ano passado.
Enquanto isso, os diretores estão confirmando que essa percepção não está apenas na cabeça dos CISOs. Um estudo da PwC deste mês mostra que menos de um terço dos diretores estão completamente satisfeitos com as informações que estão recebendo sobre segurança cibernética hoje.
“Temos uma crise de imagem que só está piorando, e precisamos nos renomear”, diz Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea. Ele explica que o CISO precisa parar de se concentrar em minúcias de segurança cibernética – coisas como métricas de ataque e detalhes técnicos precisos – e começar a se medir e se comunicar sobre os resultados dos negócios. “Essa é a maneira de ganhar o apoio do conselho”, diz ele.
Uma das maiores armadilhas em que os CISOs caem ao se comunicar com o conselho é “sobrecarregá-los com jargão técnico”, acrescenta Carson. Um estudo recente do RSAC Executive Security Action Forum (ESAF), uma comunidade de CISOs da Fortune 1000, mostra que mais da metade dos CISOs – 58% – admitem que lutam para comunicar linguagem técnica à liderança sênior de uma maneira que possam entender.
O fato de que eles estão até mesmo se esforçando para explicar essa linguagem, em primeiro lugar, indica o quanto o conteúdo de suas atualizações precisa mudar para facilitar discussões mais frutíferas no conselho.
Adotando a abordagem do conto de fadas
Kurt Manske, diretor administrativo da Coalfire, diz que frequentemente vê os CISOs lutando para entender quais pontos-chave, fatos ou números compartilhar com seus conselhos.
“Um problema-chave para os CISOs mais orientados para a técnica é quando e como girar durante a apresentação e discussão do conselho de ‘educar’ para ‘comunicar'”, diz ele.
Às vezes, simplesmente mencionar um detalhe técnico improvisado pode levar um CISO a uma toca de coelho educacional que distrai completamente o conselho da carne do que um CISO estava realmente tentando comunicar. Ajudar os CISOs a evitar esses tipos de assassinos de conversas é toda a motivação por trás da próxima palestra de Ellis na RSA, intitulada “Contando contos de fadas para o conselho: transforme gráficos de ataque em histórias de negócios“.
Em sua posição na Orca Security, Ellis ajudou a empresa a desenvolver mapas de visualização baseados em gráficos que mostram possíveis caminhos de ataque dentro da infraestrutura de uma organização. Por mais valiosa que essa ferramenta possa ser na comunicação de uma possível história de ataque às equipes de segurança, ele diz que nunca as mostraria ao conselho. Sua ideia para sua sessão RSA surgiu quando ele compartilhou isso com seu co-palestrante e colega técnico, Oren Sade, chefe de gabinete da Orca, que ficou horrorizado com o fato de Ellis pensar que a narrativa da visualização não funciona para o conselho.
“Ele ficou tipo, ‘Por quê? Isso é ótimo. É uma história simples. Andy, você nos ajudou a escrever essa história'”, diz Ellis. “E eu fico tipo, ‘sim, mas no momento em que eu digo Spring4Shell – ou qualquer que seja a vulnerabilidade que está sendo explorada – agora eu tenho que gastar 45 minutos explicando o que é o Spring4Shell porque metade dos membros do conselho acha que está esquecendo o contexto’.”
A discussão de Ellis traduzirá cinco “histórias” técnicas diferentes contadas por vários caminhos de ataque teóricos em um conjunto de slides e linha narrativa que realmente funciona para os membros do conselho. Mas antes que ele faça isso, ele vai enquadrá-lo com um conto de fadas para ajudar os membros da audiência a entender o que ele está tentando fazer.
“Eu estarei literalmente no palco, e lerei os primeiros quatro minutos de Chapeuzinho Vermelho, e então construiremos um caminho de ataque e diremos: ‘Aqui está o ataque que o lobo conduziu contra o Pequeno Vermelho e todas as vulnerabilidades que são exploradas'”, diz ele. “E então dizemos: ‘Mas observe que, se você tentou dizer dessa maneira, ninguém se importa’.”
Como Ellis explica, no conto de fadas a história não é realmente sobre o lobo comendo Chapeuzinho Vermelho. A história é um conto de advertência para as crianças que está transmitindo mensagens de evitar perigos como “não fale com estranhos” e “não saia do rastro”.
Da mesma forma, as histórias para o conselho estão direcionando para uma mensagem de evitar perdas desnecessárias, usando a experiência profissional de segurança na identificação dos perigos que tornam isso mais provável de acontecer.
“Um sistema que tem uma vulnerabilidade não é um perigo. O perigo é: ‘Não corrigimos nossos sistemas o suficiente'”, explica Ellis. “O que é interessante é o que acontece no final, certo? Os dados do cliente são roubados, o ransomware assume o controle, seja o que for. Você sempre começa falando sobre os resultados inaceitáveis.”
FONTE: DARK READING