Conselhos não querem promessas de segurança – eles querem ação

Views: 138
0 0
Read Time:4 Minute, 25 Second

A cibersegurança nunca esteve tão visível nas empresas. O grande número de histórias sobre hacks que afetam as empresas colocou isso na agenda, enquanto os requisitos da Comissão de Valores Mobiliários sobre relatórios de segurança cibernética forçarão outros a melhorar sua posição também. O impacto aqui significa que os conselhos de administração estão mais propensos do que nunca a incluir o CISO ou equivalente.

De acordo com a pesquisa de diretores de segurança da informação de 2022 da Heidrick and Struggles , os CISOs já são ouvidos pelo conselho — 88% apresentam mensalmente suas atividades ao conselho completo ou a um comitê do conselho de segurança cibernética.

Então, como profissionais de cibersegurança, deveríamos ter alcançado aquela terra prometida onde nossa influência é sentida e podemos alcançar os objetivos que queremos alcançar, certo? Errado. Como um cachorro que perseguiu um carro, agora o pegamos e devemos descobrir exatamente o que vamos conseguir com a responsabilidade resultante. A verdade é que o trabalho duro está apenas começando.

Ação, não palavras

Não basta fornecer informações sobre segurança que o conselho possa entender, mesmo que essa seja uma habilidade por si só. O maior desafio que os CISOs enfrentam é como demonstrar que nossos processos e atualizações de segurança reduzirão o risco de maneiras mensuráveis ​​e alcançáveis. Para aqueles de nós que lutaram para conseguir um lugar à mesa, essa resposta imediata pode parecer um retorno insatisfatório de todo esse investimento.

Os conselhos estão preocupados com riscos e responsabilidades, portanto, sua abordagem deve se concentrar em risco , probabilidade e mitigação. Essa ênfase na ação pode ser um estímulo tremendo para fazer mudanças em sua abordagem. Isso também pode ser uma oportunidade para ver como obter mais do básico em toda a sua operação. Rastrear áreas como gerenciamento de ativos e correções pode não ser relevante para os relatórios do conselho, mas melhorar esses processos usando automação e IA pode levar a melhorias significativas.

Por exemplo, obter mais suporte do conselho pode oferecer a oportunidade de adotar essa abordagem de “folha de papel em branco” para planejamento e processo de segurança, usando a autoridade do conselho para forçar atualizações ou novas formas de trabalho. No entanto, para a maioria das empresas estabelecidas, essa abordagem pode não ser possível. A maioria das organizações considera que será violada ao articular sua postura de segurança. Eles agora precisam dar um passo adiante e aceitar que a mudança é inevitável e que alguns processos e técnicas tradicionais simplesmente não são rápidos o suficiente para acompanhar o nível e a sofisticação das ameaças atuais.

Demonstrar impacto

O segundo elemento aqui é demonstrar que suas ações estão tendo impacto. Para isso, você deve considerar se suas mudanças terão resultados imediatos ou se serão sentidas a longo prazo. Da mesma forma, você terá que entender se esses resultados representam melhorias pontuais ou oportunidades de ganhos de longo prazo, pois isso afetará a forma como você discute essas áreas com o conselho. Essa abordagem vem com um aviso – certifique-se de observar o risco. Embora os ganhos rápidos sejam bons para as relações públicas, eles nem sempre reduzem o risco, portanto, os CISOs devem fazer as duas coisas.

Para os novos na função, fazer alterações pode levar a melhorias rápidas. Por exemplo, melhorar a priorização de patches deve facilitar a correção de problemas críticos e de alto risco de segurança. Provar que esses problemas foram corrigidos dentro dos parâmetros acordados do contrato de nível de serviço é uma ótima maneira de demonstrar que você está gerenciando os problemas — e, portanto, os riscos — com eficiência. No entanto, seu SLA pode precisar ser alterado — por exemplo, 30 dias para corrigir problemas críticos não é suficiente. Esses dados também podem ser usados ​​para reduzir os custos do prêmio de seguro cibernético, pois você pode demonstrar um sistema bem gerenciado e mantido ao longo do tempo.

Como parte disso, você também deve analisar como gerenciar as expectativas em relação ao desempenho de longo prazo. À medida que você melhorar, o nível de risco continuará caindo com o tempo – mas a curva será menos íngreme e os ganhos serão mais marginais. Com o tempo, o custo para melhorar o desempenho pode ser muito maior e o retorno menos visível. Este é o sinal de um programa de segurança cibernética maduro e eficaz, com forte ênfase no gerenciamento de riscos, mas levará muito tempo para ser alcançado. Definir expectativas em relação ao desempenho e ao risco no início ajudará, portanto, a obter o espaço para respirar de que você precisa para continuar a agir.

Tome uma atitude

Obter a atenção do conselho é um objetivo que muitos CISOs têm, pois faz parte de sua jornada de carreira e os coloca em uma boa posição para cargos futuros. Isso enfatiza o que você está fazendo e como suas prioridades estão sendo realizadas. De acordo com um CISO com quem conversei sobre relatórios do conselho, é semelhante à famosa citação de Oscar Wilde: “A única coisa pior do que ser falado é não ser falado”. Agir é a melhor abordagem para mostrar que você merece essa atenção.

FONTE: DARKREADING

POSTS RELACIONADOS