0
0
Por mais de 15 anos, a indústria de segurança cibernética tem falado sobre a comunicação com o conselho de administração . É uma prática comum que os fornecedores tenham e-books, webinars e apresentações sobre como e o que os diretores de segurança da informação (CISOs) devem apresentar a seus conselhos — quando tiverem a chance.
Junto com a falta de oportunidade, os CISOs podem ficar ansiosos em apresentar ao conselho porque são os únicos executivos de nível C sem uma ferramenta própria para medir o ROI . Do Salesforce ao Workday e ao Marketo, os executivos C-suite têm soluções de plataforma que agregam, analisam e relatam todos os aspectos da operação. Essa solução não existe para o CISO, dificultando a medição do ROI do programa de segurança ou a demonstração do valor comercial.
A ironia é que, apesar de todo o interesse em apresentar a eles, dizer que a segurança cibernética não é uma competência central do conselho é um eufemismo. O WSJ Pro Cybersecurity Research investigou o histórico profissional de todos os membros do conselho do S&P 500 e descobriu que menos de 2% “tinham experiência profissional relevante em segurança cibernética nos últimos 10 anos”.
Não importa quem você seja, é difícil ter grande interesse em algo que você não entende. Isto é, até que você esteja motivado para aprender. O que temos diante de nós agora é um grande despertar para conselhos e segurança cibernética, cortesia da Securities and Exchange Commission (SEC).
De acordo com a Harvard Business Review , “uma regra proposta da SEC exigirá que as empresas divulguem suas capacidades de governança de segurança cibernética, incluindo a supervisão do risco cibernético pelo conselho, uma descrição do papel da administração na avaliação e gerenciamento de riscos cibernéticos, a experiência relevante de tal administração e as papel na implementação das políticas, procedimentos e estratégias de segurança cibernética da empresa.”
Eu esperaria que mais conselhos procurassem executivos experientes com experiência em segurança cibernética, começando agora. Enquanto isso, o que isso significa para os CISOs?
Uma ótima oportunidade
Com um súbito interesse em segurança cibernética, mas pouco conhecimento sobre ela, o que os membros do conselho querem saber versus o que eles precisam saber pode ser bem diferente. Por exemplo, focar demais no último ataque nas manchetes ou focar demais na conformidade. Como ensinar para o teste, atingir a conformidade pode ser um bom passo na direção certa, mas nem sempre é o mesmo que se esforçar para implementar as melhores medidas de segurança possíveis. Quando atingir a conformidade se torna a meta de segurança em vez de minimizar os riscos e proteger os ativos mais críticos, perdemos o ponto.
Que oportunidade para o CISO criar uma narrativa de “segurança cibernética como um facilitador de negócios” para sua organização. Seu lugar na sala de reuniões agora está garantido. Em vez da atualização pontual ocasional, agora você faz parte da conversa de negócios de forma contínua. Esta é uma oportunidade de colocar a segurança cibernética no contexto das decisões de negócios que o conselho entende. Abandone acrônimos e conversas técnicas sobre ameaças, vulnerabilidades e ataques. Seja fluente na linguagem dos negócios e fale sobre as consequências cibernéticas das decisões de negócios tomadas todos os dias.
O uso de aplicativos SaaS que tornam os funcionários mais produtivos em um ambiente de trabalho híbrido também deixa a organização mais exposta a riscos, já que dados críticos de negócios agora estão sob o controle de terceiros. Parcerias de negócios que impulsionam a expansão geográfica, lançando novos aplicativos no mercado o mais rápido possível para conquistar participação de mercado ou adquirir para dimensionar a equipe de engenharia têm enormes consequências para a segurança cibernética. Por exemplo, quando você adquire uma empresa, também herda sua superfície de ataque. Não é apenas um novo grupo de funcionários que precisa de acesso aos recursos da empresa, mas todos os seus contratados, parceiros, fornecedores e assim por diante. É uma teia digital emaranhada e estendida de ativos e implicações conectados.
Os líderes de segurança fariam bem em tornar a segurança cibernética tangível em um contexto de negócios. Como qualquer outra parte do negócio, há decisões a serem tomadas e trade-offs a serem considerados, todos relacionados a qual é o nível aceitável de risco ao qual a organização está disposta a se expor.
Automação e Evidência
Sob os olhos da SEC, o conselho precisa de evidências de quais ativos são responsáveis e como está sendo monitorado e protegido proativamente. No caso de uma violação, quando o conselho soube disso e com que rapidez respondeu e divulgou o incidente?
Começa sabendo o que você está protegendo e como está fazendo isso. A descoberta de ativos críticos torna-se uma competência central que sustenta os esforços de visibilidade, classificação e correção em um programa moderno de segurança cibernética. A descoberta e a classificação devem ser automatizadas para lidar com o tamanho, a movimentação e o crescimento dos dados e dos ativos conectados à empresa em nuvens híbridas, parceiros SaaS e cadeias de suprimentos digitais. A proteção começa com a visibilidade completa dessa ampla superfície de ataque, incluindo todas as dependências, conexões e vulnerabilidades em todos os ativos voltados para o público. A partir daí, você pode priorizar as proteções contra as ameaças mais críticas aos seus ativos mais valiosos.
A descoberta automatizada também pode identificar ativos inativos, não utilizados e desnecessários. Dessa forma, eles podem ser efetivamente desativados para reduzir o risco cibernético e a expansão da superfície de ataque ao mesmo tempo.
Conclusão
Agora não é hora de educar o conselho sobre a diferença entre malware e ransomware. Trata-se de pintar um quadro completo do cenário de ameaças e dos riscos e exposições específicos enfrentados pela organização. Os CISOs devem falar sobre o programa geral de segurança e as iniciativas estratégicas para capacitar os negócios enquanto avaliam e reduzem os riscos.
Ajude o conselho a entender onde o negócio é vulnerável, onde terminam os controles e onde começa a exposição. Quais são as consequências e opções de proteção? No final das contas, a segurança cibernética é um desafio de negócios, como margens crescentes e participação de mercado. Prioridades estratégicas e investimentos alinhados aos objetivos do negócio. Parece tão simples.
FONTE: DARK READING