0
0
Nem todos os diretores de segurança da informação são criados iguais. Como o resto de nós, cada um tem suas próprias áreas de especialização e seus próprios interesses. E essas diferenças podem ter um grande efeito sobre como eles respondem ao seu pedido ou ideia.
Quando a segurança cibernética era considerada uma questão de tecnologia, os CISOs tendiam a ter formação em TI. No entanto, isso não acontece há algum tempo, à medida que as empresas se digitalizam e as ramificações legais e comerciais das violações de segurança podem ter um impacto tremendo em outras áreas das operações de uma organização.
Antes de abordar o CISO da sua empresa , é importante não apenas fazer sua pesquisa sobre o projeto que você está propondo e obter o apoio de outras partes da empresa – fundamental para o sucesso de qualquer novo empreendimento – mas também, principalmente, entender que tipo de CISO com quem você está lidando.
Porque, para se comunicar efetivamente com seu CISO , você precisará falar a língua dele.
Diferentes golpes para diferentes pessoas CISO
Embora existam quase certamente tantos tipos de CISO quanto CISOs, eu os reduzi em três categorias:
1. O CISO empresarial. Essa pessoa considera os efeitos das compras, decisões e violações de segurança em todo o negócio. Esse tipo de CISO tende a se concentrar em receita, economia de custos, reputação e eficiência. Eles também são mais propensos a trabalhar em conjunto com outros membros do C-suite e a consultá-los enquanto consideram sua solicitação.
As perguntas que eles podem ter incluem:
- Se uma das ameaças que você mencionou se tornasse um ataque bem-sucedido, como isso afetaria nossa receita? Qual pode ser o nosso tempo de inatividade e quanto isso pode custar?
- Quais seriam os efeitos na reputação da nossa empresa?
- Como o que você está propondo pode nos ajudar a superar a escassez de nossa força de trabalho de segurança cibernética ou reduzir nossa carga de trabalho? Como isso pode tornar a empresa mais eficiente, lucrativa e segura em geral?
Para falar a linguagem do CISO de negócios, você se sairá melhor discutindo seu projeto como um facilitador de negócios. As pessoas com as quais você deseja se reunir para obter suporte incluem outros executivos e gerentes de nível C em outras funções, incluindo finanças, marketing e recursos humanos.
2. O CISO de Conformidade. Esse tipo de CISO tem um forte foco em questões legais e conformidade com leis, regulamentos, requisitos e padrões. Antes de abordar o CISO de conformidade, você pode conversar com suas equipes jurídica e de auditoria e com o diretor de riscos, entre outros.
Os CISOs de compliance podem estar inclinados a perguntar:
- Como o que você está propondo nos ajudará a nos tornarmos ou permanecermos em conformidade com as estruturas regulatórias e legais que se aplicam a nós?
- Como isso afetará a privacidade, especialmente a privacidade dos dados?
- Até que ponto sua proposta está de acordo com as leis e regulamentos dos países onde fazemos negócios?
3. O CISO Técnico. Esse tipo pode ser o mais desafiador de lidar, especialmente se você não tiver uma mente técnica.
O CISO técnico subiu na hierarquia do lado da tecnologia. Talvez eles tenham começado como engenheiros ou engenheiros de segurança e conheçam os meandros da infraestrutura e arquiteturas de segurança da empresa.
Em relação ao que você está propondo, se for uma solução nova, eles vão se interessar em saber como funciona. Eles vão querer saber o que é necessário para mantê-lo, quais recursos serão necessários e quanto custará a manutenção.
Outras perguntas que eles podem fazer incluem:
- Temos os recursos técnicos para acomodar o que você está propondo – o hardware e outra infraestrutura, bem como o conhecimento técnico?
- Vamos executar a solução localmente ou na nuvem? Quanto tempo e esforço serão necessários para configurar e executar?
Todos esses tipos de CISO certamente perguntarão como está sua proposta para melhorar a segurança cibernética – esse é, afinal, o trabalho deles. Não é a substância do que você tem a dizer que muda com vários tipos de CISO, mas a linguagem que você fala com eles.
Se inteligência de ameaças é o que você está propondo, por exemplo, todos os tipos de CISO gostariam de saber como funciona, o que fará, quanto custaria e assim por diante.
Mas o CISO técnico está muito mais inclinado a querer os detalhes minuciosos: quais tipos de ameaças essa solução de inteligência de ameaças pode nos ajudar a afastar ou remediar? O que precisamos em nossos sistemas para evitar que as ameaças que vemos se tornem riscos ou ataques? A solução que você está propondo fornece monitoramento contínuo e, caso ocorra um incidente, avisos antecipados?
Coloque seus patos de segurança em uma fileira
Qualquer que seja o tipo de CISO que lidere a segurança cibernética em sua empresa, é provável que eles estejam ocupados a maior parte do tempo. Você pode ter dificuldade em conseguir uma consulta. Por que não fazer uso efetivo do período de espera?
Primeiro, faça uma lista de perguntas, começando com as que forneci acima, que você espera que seu CISO faça quando vocês se encontrarem.
Em seguida, considere com quais pessoas seu CISO em particular provavelmente falará antes de decidir – e converse com essas pessoas você mesmo. Pergunte o que eles querem ou precisam em uma solução como a que você está propondo. Converse com eles sobre sua ideia e, se possível, obtenha o apoio deles. Para fazer a mudança na sua empresa, você precisa da concordância de 10% das demais pessoas da sua empresa, segundo o site Rebels at Work .
FONTE: DARKREADING