Um dos principais desafios de um CISO (Chief Information Security Officer) ao se comunicar com o conselho de administração de uma empresa é garantir que as informações de segurança cibernética sejam apresentadas de forma clara e compreensível para o público-alvo, e que muitas vezes não é especializado em tecnologia ou segurança da informação.
Outro desafio é conseguir transmitir a importância e a gravidade dos riscos de segurança cibernética, sem terrorismo e de modo que o entendam a necessidade de investimentos em segurança e recursos para garantir a proteção dos dados da empresa e dos clientes.
Além disso, o CISO precisa estar preparado para responder a perguntas detalhadas e específicas sobre as políticas de segurança cibernética da empresa, e como elas estão sendo implementadas e monitoradas. Isso exige que o CISO tenha um conhecimento aprofundado não apenas da tecnologia de segurança cibernética, mas também dos processos de negócios e do setor em que trabalha como um todo.
Certamente, aqui estão algumas perguntas que o conselho de administração pode fazer a um CISO:
- Qual é a nossa exposição a riscos cibernéticos?
- Como você avalia a eficácia da nossa estratégia de segurança da informação?
- Quais são as maiores ameaças cibernéticas enfrentadas pela nossa empresa?
- Como a nossa equipe de segurança cibernética está preparada para responder a um ataque cibernético?
- Quais medidas estamos tomando para garantir a conformidade com os regulamentos de segurança cibernética?
- Qual é a nossa política em relação a violações de dados e como você garante que nossos clientes sejam informados rapidamente se ocorrer uma violação?
- Como você colabora com outras áreas da empresa, como TI, Riscos e Compliance, para garantir uma abordagem holística da segurança cibernética?
- Como você garante que os fornecedores terceirizados e parceiros de negócios cumpram nossos padrões de segurança cibernética?
- Quais métricas são usadas para avaliar o sucesso de nossos esforços de segurança cibernética?
- Como você garante que a equipe de segurança cibernética esteja atualizada em relação às novas ameaças e tecnologias emergentes?
- Temos algum cenário de exposição ou risco que pode impactar na continuidade de negócio?
- Temos um plano de continuidade de negócio e treinamento contínuo para garantirmos a execução?
- Quanto tempo nosso negócio sobrevive com os sistemas inoperantes?
Essas são apenas algumas perguntas que podem ser feitas a um CISO em uma reunião do conselho de administração. O objetivo é avaliar a eficácia da estratégia de segurança da empresa e as medidas tomadas para proteger as informações e dados da empresa.
Diante destes desafios, ao apresentar questões de segurança cibernética para o conselho de uma empresa financeira, a melhor estratégia seria enfatizar os riscos e ameaças iminentes e explicar como eles poderiam afetar negativamente a empresa e seus clientes. Aqui estão algumas sugestões para uma reunião com o conselho de sucesso:
- Conheça seu público-alvo: antes de apresentar qualquer informação de segurança cibernética, é importante entender o nível de conhecimento do conselho de administração sobre o assunto. A abordagem pode variar de acordo com o grau de conhecimento que os membros têm sobre segurança cibernética.
- Fale a língua dos negócios: é importante que as informações sejam apresentadas de forma clara e concisa, com destaque para a relação com os negócios da empresa. Explique como as ameaças cibernéticas podem afetar diretamente a empresa financeira, incluindo seus sistemas, funcionários e clientes.
- Foque em soluções: apresente soluções viáveis para os riscos de segurança cibernética que a empresa enfrenta. Mostre como a implementação de medidas de segurança pode minimizar os riscos de perda financeira, roubo de dados e danos à reputação.
- Demonstre a importância: certifique-se de que os membros do conselho de administração entendam a importância de investir em segurança cibernética. Mostre exemplos de empresas que sofreram grandes perdas financeiras ou danos à reputação devido a violações de segurança.
- Seja transparente: seja transparente sobre os riscos e ameaças que a empresa enfrenta e forneça atualizações regulares sobre a implementação de medidas de segurança. A transparência ajuda a criar confiança com os membros do conselho de administração e ajuda a garantir que a empresa esteja sempre à frente das ameaças de segurança cibernética.
Com essas estratégias em mente, você poderá comunicar efetivamente as questões de segurança cibernética ao conselho da empresa e ajudá-los a tomar decisões informadas sobre investimentos em segurança.
Para apoiá-lo, alguns indicadores de segurança importantes que podem ser apresentados:
- Taxa de detecção de ameaças: número de ameaças detectadas pelo sistema em relação ao número total de ameaças que tentaram penetrar no sistema, indicando a eficácia dos sistemas de detecção de ameaças da empresa.
- Taxa de remediação de ameaças: o número de ameaças resolvidas em relação ao número total de ameaças que ocorreram, indicando a eficácia dos sistemas de remediação de ameaças da empresa.
- Taxa de conformidade: o número de sistemas e processos que estão em conformidade com as políticas de segurança da empresa, indicando o grau de adesão às políticas e regulamentações de segurança. Outro indicador importante e como a empresa está aderente as boas práticas e frameworks como o NIST (National Institute of Standards and Technology) – Cyber Security Framework e CIS – Critical Security Controls (CIS Controls). Ambos proveem melhores práticas para ajudar organizações a defender seus ativos no espaço cibernético.
- Tempo médio de resposta a incidentes: o tempo necessário para detectar e responder a incidentes de segurança, indicando a eficácia dos processos de resposta a incidentes da empresa.
- Nível de atualização do software: a proporção de sistemas e aplicativos que estão atualizados com as últimas correções de segurança, indicando a capacidade da empresa de proteger seus sistemas contra vulnerabilidades conhecidas.
- Nível de treinamento em segurança: a proporção de funcionários que receberam treinamento em segurança cibernética, indicando o nível de conscientização e preparação dos funcionários em relação aos riscos de segurança.
É importante lembrar que esses indicadores podem variar de acordo com as especificidades de cada empresa e setor, e que outros indicadores podem ser relevantes de acordo com a situação e a estratégia da empresa.
Outra abordagem de sucesso é associar os indicadores de segurança aos indicadores de negócio. É primordial entender como a segurança da informação pode afetar o desempenho da empresa. Alguns exemplos de como os indicadores de segurança podem estar relacionados aos indicadores de negócio são:
- Tempo de inatividade do sistema: um indicador de segurança importante é o tempo de inatividade do sistema, que mede quanto tempo o sistema fica indisponível devido a falhas de segurança. Esse indicador pode estar diretamente relacionado ao indicador de negócio de disponibilidade do sistema, que mede quanto tempo o sistema fica disponível para os usuários.
- Número de incidentes de segurança: o número de incidentes de segurança é um indicador importante da eficácia das medidas de segurança da empresa. Esse indicador pode estar relacionado ao indicador de negócio de satisfação do cliente, já que incidentes de segurança podem afetar a confiança dos clientes na empresa.
- Nível de conformidade com as regulamentações: empresas financeiras precisam cumprir uma série de regulamentações de segurança, como a Lei Geral de Proteção de Dados (LGPD) e o PCI DSS. O nível de conformidade com essas regulamentações pode estar relacionado ao indicador de negócio de reputação da empresa, já que a falta de conformidade pode resultar em sanções e danos à reputação da empresa.
Ao associar os indicadores de segurança aos indicadores de negócio, é possível mostrar como a segurança da informação afeta diretamente o desempenho da empresa e justificar a importância de investir em medidas de segurança.
Em resumo, a segurança cibernética é um aspecto crítico dos negócios para empresas de todos os segmentos em especial as financeiras, e o CISO é responsável por garantir que a empresa esteja protegida contra ameaças cibernéticas. Para se comunicar com o conselho de administração, o CISO deve associar indicadores de risco de segurança cibernética a indicadores de negócios, falar a linguagem dos negócios e apresentar informações claras e concisas. O CISO também precisa estar preparado para responder perguntas do conselho de administração sobre as medidas de segurança em vigor, a eficácia das soluções de segurança implementadas e o plano de contingência em caso de violação de segurança.
Por menos certezas, aceitar mais as incertezas, tomar decisões baseadas em probabilidades e cenários de exposição. – Sócrates