0
0
Devido às suas perspectivas distintas, os membros do conselho e os CISOs geralmente têm visões diferentes sobre os riscos de ataques cibernéticos. A discrepância surge quando os conselhos precisam de experiência em segurança cibernética, precisam de ajuda para compreender o jargão técnico ou quando os CISOs precisam se comunicar em linguagem de negócios.
Nesta entrevista à Help Net Security, David Christensen, CISO da PlanSource, propõe estratégias para entender e reconhecer as implicações organizacionais e estratégicas mais amplas do gerenciamento, estratégia e governança de riscos de segurança cibernética.
Membros do conselho e CISOs muitas vezes não veem com bons olhos o risco de ataques cibernéticos. Na sua opinião, qual é a principal causa dessa discrepância?
A diferença de perspectiva é uma razão fundamental pela qual os membros do conselho e o CISO nem sempre estão alinhados. Os membros do conselho normalmente têm uma visão muito mais ampla dos objetivos, estratégias e cenário de risco geral da organização, onde os CISOs são responsáveis por avaliar e mitigar o risco de segurança cibernética. Estas diferenças de perspectivas conduzem a prioridades e avaliações de risco contrastantes. No entanto, quando os membros do conselho e os CISOs não veem o risco de ataques cibernéticos, muitas vezes é resultado da falta de experiência em segurança cibernética entre seus membros, da complexidade em entender o tema e dos CISOs que se concentram muito na linguagem técnica durante suas discussões com o conselho.
Comunicar o risco cibernético ao conselho requer que o CISO entenda o público, traduzindo o jargão técnico para a linguagem de negócios, permitindo que o conselho veja o CISO como um parceiro estratégico. Tornar-se o parceiro estratégico também requer que os CISOs vejam seus investimentos em segurança cibernética em termos de ROI para ajudar o conselho a entender a importância de um investimento em relação às prioridades e gastos concorrentes.
Os CISOs também precisam entender que os membros do conselho geralmente têm um horizonte de tempo mais curto para a tomada de decisões, concentrando-se no desempenho trimestral ou anual, em contraste com os CISOs estarem mais sintonizados com os potenciais impactos de longo prazo dos ataques cibernéticos e defendendo medidas proativas. Esse desalinhamento nos horizontes temporais pode contribuir para disparidades na percepção de risco.
Como um CISO pode efetivamente traduzir jargões técnicos em linguagem de negócios que os membros do conselho possam entender e se envolver? Você tem alguma estratégia ou abordagem específica em mente?
Um CISO precisa entender o conhecimento e a experiência dos membros do conselho para ser capaz de traduzir jargões técnicos para linguagem de negócios e algo familiar com o público-alvo. Abordo isso relacionando jargões técnicos a situações cotidianas ou cenários de negócios, algo que a diretoria pode facilmente entender.
Para ser eficaz nesse estilo de comunicação, colaboro com outros líderes de negócios fora dos grupos de tecnologia para otimizar o alinhamento dos negócios. O foco no potencial impacto comercial do risco de segurança cibernética também permite que um CISO enquadre questões técnicas em termos de suas consequências, como perda financeira ou danos à marca da empresa.
É igualmente importante ser conciso e evitar o embelezamento excessivo dos riscos cibernéticos, ao mesmo tempo em que se concentra nos objetivos estratégicos que você está pedindo ao conselho para avaliar. Para preencher a lacuna entre os membros do conselho e os CISOs para promover a mitigação do risco cibernético, é essencial que um CISO melhore a comunicação, eduque os membros do conselho sobre os riscos de segurança cibernética e promova uma abordagem colaborativa para a tomada de decisões.
Many boards still see cybersecurity as a purely technical issue. What strategies can they employ to understand and acknowledge the broader organizational and strategic implications of cybersecurity?
Para que os conselhos entendam e reconheçam melhor as implicações organizacionais e estratégicas mais amplas da segurança cibernética, é necessário que haja uma mudança na forma como o risco cibernético é visto e abordado. Os conselhos podem começar superando a desconexão comum do CISO-conselho que existe, desenvolvendo um relacionamento direto e estratégico com o CISO que continua fora das reuniões do conselho. Os conselhos também devem alocar mais de seu tempo ao tema de segurança cibernética e permitir que o CISO comunique o risco ao conselho além de apenas um punhado de slides trimestrais. A experiência em segurança cibernética também precisa fazer parte da composição de um conselho, incluindo diretores com uma mistura de experiência em negócios e cibernética.
Como você vê as emendas propostas pela SEC mudando a maneira como os conselhos abordam a gestão, a estratégia e a governança de riscos de segurança cibernética?
Quando as alterações propostas pela SEC se tornarem realidade, imagino que os conselhos deem mais atenção às questões de segurança cibernética. A esperança é que essas mudanças levem os conselhos a dedicar mais recursos, tempo e experiência para avaliar, gerenciar e mitigar o risco de segurança cibernética antes que sejam afetados por um incidente.
Esperaria então que isso resultasse em conselhos de administração estabelecendo ou aprimorando estruturas de governança relacionadas à cibersegurança, levando-os a definir papéis e responsabilidades claros para a supervisão da segurança cibernética e, em última análise, a presença de especialistas em segurança cibernética no nível do conselho. Essas alterações também incentivarão os conselhos de administração a integrar considerações de segurança cibernética em sua estratégia geral de negócios.
Na sua opinião, que medidas concretas os membros do conselho de administração podem tomar para melhorar a sua compreensão dos riscos induzidos pela cibersegurança e avaliar os planos para os gerir de forma eficaz?
Os membros do conselho devem se educar ativamente sobre segurança cibernética, participando de treinamentos, workshops e conferências sobre o tema que podem ajudá-los a se manter atualizados sobre ameaças emergentes e tendências mais recentes. Os conselhos também devem estabelecer um comitê de segurança cibernética dedicado composto por membros com experiência relevante para ajudar a avaliar e supervisionar as iniciativas de segurança cibernética dentro de uma organização.
O conselho também deve se envolver com especialistas e consultores de segurança cibernética para obter insights sobre os riscos e desafios específicos enfrentados por sua organização. Além disso, os conselhos devem exigir que suas organizações realizem avaliações de risco regulares, bem como revisem relatórios de segurança cibernética, que fornecerão uma visão geral da postura de segurança cibernética da organização.
FONTE: HELPNET SECURITY