Fortalecendo a segurança cibernética ao lado do Conselho de Administração

Um dos principais desafios de um CISO (Chief Information Security Officer) ao se comunicar com o conselho de administração de uma empresa é garantir que as informações de segurança cibernética sejam apresentadas de forma clara e compreensível para o público-alvo, e que muitas vezes não é especializado em tecnologia ou segurança da informação.

Outro desafio é conseguir transmitir a importância e a gravidade dos riscos de segurança cibernética, sem terrorismo e de modo que o entendam a necessidade de investimentos em segurança e recursos para garantir a proteção dos dados da empresa e dos clientes.

Além disso, o CISO precisa estar preparado para responder a perguntas detalhadas e específicas sobre as políticas de segurança cibernética da empresa, e como elas estão sendo implementadas e monitoradas. Isso exige que o CISO tenha um conhecimento aprofundado não apenas da tecnologia de segurança cibernética, mas também dos processos de negócios e do setor em que trabalha como um todo.

Certamente, aqui estão algumas perguntas que o conselho de administração pode fazer a um CISO:

  • Qual é a nossa exposição a riscos cibernéticos?
  • Como você avalia a eficácia da nossa estratégia de segurança da informação?
  • Quais são as maiores ameaças cibernéticas enfrentadas pela nossa empresa?
  • Como a nossa equipe de segurança cibernética está preparada para responder a um ataque cibernético?
  • Quais medidas estamos tomando para garantir a conformidade com os regulamentos de segurança cibernética?
  • Qual é a nossa política em relação a violações de dados e como você garante que nossos clientes sejam informados rapidamente se ocorrer uma violação?
  • Como você colabora com outras áreas da empresa, como TI, Riscos e Compliance, para garantir uma abordagem holística da segurança cibernética?
  • Como você garante que os fornecedores terceirizados e parceiros de negócios cumpram nossos padrões de segurança cibernética?
  • Quais métricas são usadas para avaliar o sucesso de nossos esforços de segurança cibernética?
  • Como você garante que a equipe de segurança cibernética esteja atualizada em relação às novas ameaças e tecnologias emergentes?
  • Temos algum cenário de exposição ou risco que pode impactar na continuidade de negócio?
  • Temos um plano de continuidade de negócio e treinamento contínuo para garantirmos a execução?
  • Quanto tempo nosso negócio sobrevive com os sistemas inoperantes?

Essas são apenas algumas perguntas que podem ser feitas a um CISO em uma reunião do conselho de administração. O objetivo é avaliar a eficácia da estratégia de segurança da empresa e as medidas tomadas para proteger as informações e dados da empresa.

Diante destes desafios, ao apresentar questões de segurança cibernética para o conselho de uma empresa financeira, a melhor estratégia seria enfatizar os riscos e ameaças iminentes e explicar como eles poderiam afetar negativamente a empresa e seus clientes. Aqui estão algumas sugestões para uma reunião com o conselho de sucesso:

  • Conheça seu público-alvo: antes de apresentar qualquer informação de segurança cibernética, é importante entender o nível de conhecimento do conselho de administração sobre o assunto. A abordagem pode variar de acordo com o grau de conhecimento que os membros têm sobre segurança cibernética.
  • Fale a língua dos negócios: é importante que as informações sejam apresentadas de forma clara e concisa, com destaque para a relação com os negócios da empresa. Explique como as ameaças cibernéticas podem afetar diretamente a empresa financeira, incluindo seus sistemas, funcionários e clientes.
  • Foque em soluções: apresente soluções viáveis para os riscos de segurança cibernética que a empresa enfrenta. Mostre como a implementação de medidas de segurança pode minimizar os riscos de perda financeira, roubo de dados e danos à reputação.
  • Demonstre a importância: certifique-se de que os membros do conselho de administração entendam a importância de investir em segurança cibernética. Mostre exemplos de empresas que sofreram grandes perdas financeiras ou danos à reputação devido a violações de segurança.
  • Seja transparente: seja transparente sobre os riscos e ameaças que a empresa enfrenta e forneça atualizações regulares sobre a implementação de medidas de segurança. A transparência ajuda a criar confiança com os membros do conselho de administração e ajuda a garantir que a empresa esteja sempre à frente das ameaças de segurança cibernética.

Com essas estratégias em mente, você poderá comunicar efetivamente as questões de segurança cibernética ao conselho da empresa e ajudá-los a tomar decisões informadas sobre investimentos em segurança.

Para apoiá-lo, alguns indicadores de segurança importantes que podem ser apresentados:

  • Taxa de detecção de ameaças: número de ameaças detectadas pelo sistema em relação ao número total de ameaças que tentaram penetrar no sistema, indicando a eficácia dos sistemas de detecção de ameaças da empresa.
  • Taxa de remediação de ameaças: o número de ameaças resolvidas em relação ao número total de ameaças que ocorreram, indicando a eficácia dos sistemas de remediação de ameaças da empresa.
  • Taxa de conformidade: o número de sistemas e processos que estão em conformidade com as políticas de segurança da empresa, indicando o grau de adesão às políticas e regulamentações de segurança. Outro indicador importante e como a empresa está aderente as boas práticas e frameworks como o NIST (National Institute of Standards and Technology)  – Cyber Security Framework e CIS – Critical Security Controls (CIS Controls). Ambos proveem melhores práticas para ajudar organizações a defender seus ativos no espaço cibernético.
  • Tempo médio de resposta a incidentes: o tempo necessário para detectar e responder a incidentes de segurança, indicando a eficácia dos processos de resposta a incidentes da empresa.
  • Nível de atualização do software: a proporção de sistemas e aplicativos que estão atualizados com as últimas correções de segurança, indicando a capacidade da empresa de proteger seus sistemas contra vulnerabilidades conhecidas.
  • Nível de treinamento em segurança: a proporção de funcionários que receberam treinamento em segurança cibernética, indicando o nível de conscientização e preparação dos funcionários em relação aos riscos de segurança.

É importante lembrar que esses indicadores podem variar de acordo com as especificidades de cada empresa e setor, e que outros indicadores podem ser relevantes de acordo com a situação e a estratégia da empresa.

Outra abordagem de sucesso é associar os indicadores de segurança aos indicadores de negócio. É primordial entender como a segurança da informação pode afetar o desempenho da empresa. Alguns exemplos de como os indicadores de segurança podem estar relacionados aos indicadores de negócio são:

  • Tempo de inatividade do sistema: um indicador de segurança importante é o tempo de inatividade do sistema, que mede quanto tempo o sistema fica indisponível devido a falhas de segurança. Esse indicador pode estar diretamente relacionado ao indicador de negócio de disponibilidade do sistema, que mede quanto tempo o sistema fica disponível para os usuários.
  • Número de incidentes de segurança: o número de incidentes de segurança é um indicador importante da eficácia das medidas de segurança da empresa. Esse indicador pode estar relacionado ao indicador de negócio de satisfação do cliente, já que incidentes de segurança podem afetar a confiança dos clientes na empresa.
  • Nível de conformidade com as regulamentações: empresas financeiras precisam cumprir uma série de regulamentações de segurança, como a Lei Geral de Proteção de Dados (LGPD) e o PCI DSS. O nível de conformidade com essas regulamentações pode estar relacionado ao indicador de negócio de reputação da empresa, já que a falta de conformidade pode resultar em sanções e danos à reputação da empresa.

Ao associar os indicadores de segurança aos indicadores de negócio, é possível mostrar como a segurança da informação afeta diretamente o desempenho da empresa e justificar a importância de investir em medidas de segurança.

Em resumo, a segurança cibernética é um aspecto crítico dos negócios para empresas de todos os segmentos em especial as financeiras, e o CISO é responsável por garantir que a empresa esteja protegida contra ameaças cibernéticas. Para se comunicar com o conselho de administração, o CISO deve associar indicadores de risco de segurança cibernética a indicadores de negócios, falar a linguagem dos negócios e apresentar informações claras e concisas. O CISO também precisa estar preparado para responder perguntas do conselho de administração sobre as medidas de segurança em vigor, a eficácia das soluções de segurança implementadas e o plano de contingência em caso de violação de segurança.

Por menos certezas, aceitar mais as incertezas, tomar decisões baseadas em probabilidades e cenários de exposição. – Sócrates

Deixe um comentário

Contato