0
0
Eles estão prontos para ir além do básico.
Os conselhos hoje estão mais informados e preparados para desafiar a eficácia dos programas de segurança de suas empresas. Eles estão tendo diálogos mais complexos e nuances com líderes de segurança e gerenciamento de riscos, graças à necessidade de alcançar ambições digitais em meio a crescentes ameaças de cibersegurança para equipes remotas.
Portanto, é altamente improvável que eles façam perguntas básicas como: Quão seguros estamos? Por que precisamos de mais dinheiro para a segurança, quando aprovamos x no ano passado? Como assim, fomos hackeados centenas de vezes? Em vez disso, as placas serão muito mais específicas e precisas em suas sondagens.
“Os líderes de segurança e gerenciamento de riscos muitas vezes lutam para responder a perguntas do conselho que são moldadas por relatórios de mídia, o que leva a uma quebra de confiança entre líderes empresariais e líderes de tecnologia”, diz Sam Olyaei, analista diretor do Gartner.
cabe a você preparar respostas que levem a discussão para garantia, conformidade e suporte para práticas de segurança. Além das paixões e preocupações individuais, os conselhos se preocupam coletivamente com três coisas:
- Receita/missão: receita operacional ou não operacional e aumento dos objetivos da missão não-receita
- Custo: evasão de custos futuras e redução imediata das despesas operacionais
- Risco: financeiro, mercado, conformidade regulatória e segurança, inovação, marca e reputação
As perguntas do conselho podem ser categorizadas nesses cinco baldes.
A questão do incidente
O que parece: Como isso aconteceu? Eu pensei que você tinha isso sob controle? O que deu errado?
Por que é perguntado: Essas perguntas surgem quando um incidente ou evento ocorreu e o conselho já sabe sobre isso ou o chefe de segurança da informação (CISO) está informando-os sobre isso. Isso é particularmente relevante agora, quando os conselhos podem estar fazendo perguntas específicas para garantir a organização enquanto grandes parcelas de funcionários estão trabalhando em casa. Essas perguntas também podem surgir em referência a qualquer outro incidente, incluindo violações de dados que possam ter afetado a organização em geral.
Como responder: Um incidente (independentemente da categoria) é inevitável, por isso atenha-se aos fatos. Compartilhe o que você sabe e o que você está fazendo para descobrir qualquer coisa que você ainda não sabe. Em suma, reconheça o incidente, forneça detalhes sobre o impacto nos negócios, delineie fraquezas ou lacunas que precisam ser trabalhadas e forneça um plano de mitigação.
Tenha cuidado para não endossar uma opção como a escolha final quando estiver na frente do tabuleiro. A responsabilidade pela fiscalização da segurança e do risco permanece com o líder de segurança, mas a prestação de contas deve ser sempre definida no nível do conselho/executivo.
A questão da troca
O que parece: Estamos 100% seguros? Tem certeza?
Por que é perguntado: Perguntas como esta muitas vezes vêm de membros do conselho que realmente não entendem a segurança e o impacto para o negócio. É impossível estar 100% seguro ou protegido. Seu papel é identificar as áreas de maior risco e alocar recursos finitos para gerenciá-las com base no apetite dos negócios.
Como responder: Comece com algo como: “Considerando a natureza em constante evolução da paisagem de ameaças, é impossível eliminar todas as fontes de risco de informação. Meu papel é implementar controles para gerenciar o risco. À medida que nosso negócio cresce, temos que reavaliar continuamente quanto risco é apropriado. Nosso objetivo é construir um programa sustentável que equilibre a necessidade de proteger contra a necessidade de administrar nossos negócios.”
A questão da paisagem
O que parece: Está muito ruim lá fora? E o que aconteceu na empresa X? Como estamos em comparação com os outros?
Por que é perguntado: Os membros do conselho encontram relatórios de ameaças, artigos, blogs e pressão regulatória para entender os riscos. Eles sempre perguntarão sobre o que os outros estão fazendo, especialmente organizações de pares. Eles querem saber como é o “tempo” e como eles se comparam aos outros.
Como responder: Evite adivinhar a causa principal de um problema de segurança em outra empresa dizendo: “Não quero especular sobre o incidente na Empresa X até que mais informações estejam disponíveis, mas ficarei feliz em segui-lo quando souber mais.” Considere discutir uma série de respostas de segurança mais amplas, como identificar uma fraqueza semelhante e como você está atualizando planos de continuidade de negócios.
A questão do risco
O que parece: Sabemos quais são nossos riscos? O que te mantém acordado à noite?
Por que é perguntado: O conselho sabe que aceitar o risco é uma escolha (se não o fizerem, esse é um desafio que você precisa enfrentar). Eles querem saber que os riscos da empresa estão sendo tratados, e você deve estar preparado para explicar a tolerância ao risco da organização para defender as decisões de gerenciamento de riscos.
Como responder: Explique o impacto dos negócios nas decisões de gestão de riscos e garanta que suas posições sejam apoiadas por evidências. A segunda parte é vital, pois os conselhos tomam decisões baseadas na tolerância ao risco. Quaisquer riscos acima do limiar de tolerância requerem um remédio para trazê-los para dentro de uma área segura. Dito isto, isso não requer necessariamente mudanças dramáticas em curtos períodos de tempo, então cuidado com a ingeração exagerada.
O conselho busca garantias de que você está gerenciando adequadamente os riscos materiais, e que abordagens sutis e de longo prazo podem ser apropriadas em alguns casos. Lembre-se, o conselho é responsável pelo risco de “empresa”, do qual o risco cibernético compõe uma pequena, embora importante, parte. Desafie-se a ser breve e ao ponto. A falta de controle não é um risco, e nem a próxima grande ameaça. Concentre-se nos itens de grande porte que você controla, como perda de IP, regulação e risco de terceiros.
A questão de desempenho
O que parece: Estamos alocando recursos adequadamente? Estamos gastando o suficiente? Por que estamos gastando tanto?
Por que é perguntado: O conselho quer a garantia de que os líderes de segurança e gerenciamento de riscos não estão parados e sobre métricas e ROI.
Como responder: Use uma abordagem de scorecard equilibrada que use um mecanismo simples de semáforo. A camada superior deve expressar as aspirações dos negócios e o desempenho da organização contra essas aspirações. Tanto quanto possível, explique as aspirações em termos de desempenho do negócio, não de tecnologia. O desempenho é sustentado por uma série de medidas de segurança que são avaliadas por meio de um conjunto de critérios objetivos.
FONTE: GARTNER