0
0
No cenário tecnológico em rápida evolução de hoje, é mais importante do que nunca que os conselhos e executivos se mantenham informados sobre os mais recentes avanços e riscos potenciais em tecnologia e capacidade digital.
Nesta entrevista da Help Net Security, Alicja Cade, Diretora de Serviços Financeiros do Escritório do CISO do Google Cloud, oferece insights sobre como fazer as perguntas certas pode ajudar a melhorar o desempenho e a prontidão cibernética, promover práticas responsáveis de IA e equilibrar a necessidade de segurança cibernética com outras prioridades de negócios. O Cade compartilha conselhos valiosos para líderes que desejam garantir que suas organizações estejam equipadas para navegar no complexo cenário digital do mundo moderno.
As organizações enfrentam um cenário de ameaças cibernéticas em evolução nos dias de hoje. Você pode fornecer exemplos de perguntas de sondagem que os conselhos, CEOs e outros executivos devem fazer sobre tecnologia e capacidade digital e como essas perguntas podem ajudar a melhorar o desempenho e a prontidão cibernética?
O cenário de ameaças continua a permanecer dinâmico e complexo, e esperamos que essas tendências continuem em 2023 e além. Na maioria dos casos, os líderes de segurança cibernética entendem a necessidade de uma melhor inteligência sobre ameaças de segurança cibernética, mas muitos deles geralmente tomam decisões sem entender completamente quem está atacando sua organização e por quê.
Os conselhos podem se esforçar para preencher essas lacunas de inteligência e garantir que essas informações estejam desempenhando um papel de liderança nas decisões de gerenciamento de riscos. Para ajudar a incentivar essa conexão, os Conselhos devem fazer ao CISO três perguntas-chave, pelo menos trimestralmente:
- Quão bons somos em segurança cibernética? Os conselhos devem aprender mais sobre as pessoas e os conhecimentos da equipe de segurança cibernética e suas experiências. Isso é importante porque os conselhos não podem confiar apenas em painéis de conformidade e controles de segurança cibernética para responder a essa pergunta. Os conselhos precisam trabalhar para entender mais sobre a capacidade prática de sua equipe de responder aos eventos. É claro que os painéis podem ser uma ótima fonte de informações, mas eles simplesmente mostram o que as organizações podem medir, em vez do que deveriam medir?
- Quão resilientes somos? Os conselhos devem perguntar ao CISO, à liderança em tecnologia: CIO, CTO e aos líderes empresariais sobre o quão preparada sua organização está para manter o negócio funcionando durante um evento como um ataque de ransomware. Estamos testando e validando que os designs fornecem os níveis de failover necessários em uma variedade de cenários? Podemos operar nossos principais serviços de negócios em um estado degradado?
- Qual é o nosso risco? No mínimo, os Conselhos devem garantir que a avaliação de riscos de segurança cibernética abranja cinco áreas-chave: 1) uma avaliação da exposição atual a ameaças à sua organização; 2) uma explicação do que a liderança em segurança cibernética está fazendo para mitigar essas ameaças; 3) exemplos de como a organização está testando se os controles são eficazes; 4) uma avaliação das consequências se essas ameaças se materializarem como incidentes: estamos prontos para responder e recuperar; e 5) uma avaliação dos riscos que você não vai mitigar, mas que de outra forma aceitará.
Abordar o risco cibernético é um desafio para muitas empresas, por isso é cada vez mais importante que os membros do Conselho conduzam a supervisão relevante e ajudem a orientar as prioridades de gerenciamento de riscos. Você pode ler mais sobre essas considerações no relatório inaugural do Google Cloud Perspectives on Security for the Board (Perspectivas sobre segurança para o Conselho) do Google Cloud.
Quais os principais desafios de segurança cibernética que as organizações enfrentam hoje e como os Conselhos podem assumir um papel mais proativo no avanço de práticas responsáveis de IA?
Um dos maiores desafios para as organizações hoje é navegar como aproveitar o poder da IA. Estamos apenas começando a ver o potencial da IA para permitir que as organizações melhorem, dimensionem e acelerem o processo de tomada de decisão na maioria das funções de negócios.
As Boards consider how to best support their organizations on this journey, we encourage them to recognize the beneficial and transformational potential of AI. At Google, we were one of the first to introduce and advance responsible AI practices, and these principles serve as an ongoing commitment to our customers worldwide who rely on our products to build and grow their businesses safely.
To maximize the benefits of AI technologies and minimize risks, we recommend that Boards work with the CISO to take a three-pronged approach to secure, scale, and evolve – deploy secure AI systems, leverage the power of AI to achieve better cybersecurity outcomes at scale, and stay informed on developments in this space to anticipate threats.
How do you suggest Boards balance the need for cybersecurity with other business priorities, such as innovation and growth?
Boards continue to see cybersecurity as a siloed priority. Traditionally, we were seeing a growing trend around investing in cybersecurity, but not in modernizing the foundational technology behind it.
To better balance the scale, Boards must encourage deeper collaboration between the C-Suite – especially the Chief Information Security Officer, Chief Information Officer, Chief Technology Officer, and Chief Compliance Officer as well as business leaders – to build better security into all products and services versus security being an add-on.
Que equívocos comuns os Conselhos podem ter sobre a segurança cibernética e como eles podem ser abordados?
Um dos maiores equívocos é que a segurança de uma empresa é de responsabilidade exclusiva do CISO e de sua equipe. A segurança cibernética é um esporte de equipe.
As interações no Conselho em torno da segurança de uma organização não devem vir apenas de um CISO, e os Conselhos devem esperar que todas as linhas de negócios – o CIO, CTO, CRO e outros líderes – falem sobre o risco cibernético como parte de suas estratégias. Ao discutir um lançamento ou uma nova estratégia, é essencial que os Conselhos perguntem a todos os executivos de negócios e tecnologia sobre o conjunto mais amplo de riscos, incluindo a segurança, que devem ser considerados.
Como os Conselhos podem garantir que estão adequadamente preparados para possíveis obrigações regulatórias relacionadas à segurança cibernética?
Os governos em todo o mundo estão cada vez mais implementando medidas regulatórias para elevar os padrões obrigatórios de linha de base de segurança cibernética, incluindo requisitos para relatar incidentes cibernéticos às autoridades governamentais relevantes. À medida que o risco regulatório aumenta nos níveis federal e estadual, a compreensão dos Conselhos sobre segurança cibernética é mais crítica do que nunca. Os conselhos desempenharão um papel importante na forma como as organizações respondem a essas tendências e devem se preparar agora para esse estado futuro.
Incentivamos os Conselhos a adotar os três princípios a seguir para uma supervisão eficaz do risco cibernético:
- Eduque-se sobre os principais tópicos para garantir que o risco cibernético e tecnológico mais amplo seja incorporado ao risco operacional e às discussões estratégicas e decisões organizacionais.
- Envolva-se com o CISO, outros líderes C-Suite e as principais partes interessadas do negócio para construir melhores relacionamentos e entender as lacunas críticas e as necessidades de recursos, garantindo que esse risco seja tratado como uma prioridade para todos os executivos – não apenas para a equipe de segurança cibernética.
- Mantenha-se informado sobre as atividades de relatórios em andamento, faça perguntas e trabalhe com o CISO e outros líderes para entender as métricas de risco cibernético.
FONTE: HELPNET SECURITY