Convença a diretoria da importância da segurança cibernética

Que investir em segurança cibernética é fundamental hoje em dia não é novidade. No entanto, a diretoria das empresas ainda não prioriza a segurança cibernética de forma efetiva. Talvez isso aconteça devido a um sentimento de “não vai acontecer comigo”, contudo, é justamente esse sentimento que costuma causar problemas bem reais a curto e longo prazo para as pessoas.

Entretanto, será que a diretoria realmente não está levando a segurança cibernética tão a sério quanto deveria? Ou será possível que esteja acontecendo uma falha na forma como a TI comunica essa necessidade à diretoria?

Portanto, se cabe a você convencer a diretoria de sua empresa a levar a segurança cibernética a sério, confira as dicas a seguir. Elas contam com as práticas recomendadas e erros comuns para evitar ao comunicar o risco de segurança cibernética ao conselho empresarial.

Uma preocupação geral

Em geral, a segurança cibernética é uma das principais preocupações dos conselhos de administração. De fato, 42% dos quase 500 líderes pesquisados pela Associação Nacional de Diretores Corporativos dos EUA listaram os riscos de segurança cibernética como uma das cinco preocupações mais urgentes que enfrentam. Então, a preocupação da diretoria com a segurança cibernética vem logo atrás das mudanças no clima regulatório e da desaceleração econômica.

Como resultado, os executivos de segurança estão cada vez mais participando das reuniões do conselho para informá-los sobre os riscos que enfrentam e as estratégias para mitigá-los.

“Mais conselhos estão dizendo: ‘Fale conosco, diga-nos o que precisamos saber’”, diz Gary Hayslip, CISO da empresa de segurança na Internet Webroot e membro veterano do conselho.

No entanto, muitos membros da diretoria acham que não estão obtendo as informações de que precisam de seus diretores de segurança cibernética.

“Os membros do conselho estão falando sobre risco cibernético. No entanto, os comitês de risco e auditoria estão gastando muito tempo interrogando os CISOs e geralmente estão insatisfeitos com a experiência”, diz David Chinn, sócio sênior da consultoria de gestão McKinsey & Co.

Felizmente, existem medidas que os CISOs podem tomar para evitar essas avaliações negativas. Aqui, vários líderes experientes compartilham seus conselhos para apresentar à diretoria argumentos sobre a necessidade de investir em segurança cibernética:

Faça mais trabalho de preparação

Espera-se que os executivos preparem relatórios escritos para distribuição aos membros do conselho nas semanas anteriores à apresentação presencial. Alguns acham que o trabalho antecipado é suficiente, no entanto, executivos experientes e consultores de liderança dizem que os CISOs (especialmente aqueles com tempo limitado com membros da diretoria) precisam fazer um trabalho de preparação mais focado. Na verdade, idealmente deveriam receber treinamento específico.

Antes de Hayslip apresentar-se a um novo conselho pela primeira vez, ele pediu ao seu CFO que o conectasse com um diretor que estaria disposto a ajudá-lo a se preparar para sua apresentação.

“Afinal, se vou me reportar ao conselho e nunca falei com eles antes, não quero entrar nessa sala de reuniões friamente. Eu não sei que tipo de perguntas eles vão fazer. Eu não sei o que eles querem saber. Então, vou conversar com meus colegas, perguntar a outros executivos que se reportam ao conselho e obter seu feedback – quem está lá, como eles são, quais perguntas eles fazem – para saber com quem vou falar e como eles gostam de ter os dados apresentados”, diz ele.

Ofereça uma avaliação

Hayslip diz que o trabalho de preparação junto com suas experiências subsequentes de apresentação aos conselhos lhe ensinaram algo sobre o que os diretores querem saber. Ou seja, a diretoria basicamente quer uma uma avaliação da postura de segurança cibernética da empresa e como ela precisa melhorar.

“Diga a eles onde você está e onde você precisa estar. E toda vez que você entra, você compartilha informações sobre novos riscos e novas oportunidades de melhoria, com base nas informações apresentadas na [apresentação] anterior”, diz ele. “Diga a eles que é aqui que estamos, aqui é onde somos imaturos e onde estão os riscos, e de um perfil de ameaça é isso que devemos priorizar e por que … e onde nos posicionamos em relação aos concorrentes.”

Seja transparente

As avaliações não devem ofuscar os riscos para a empresa, dizem os especialistas. Portanto, os CISOs devem ser diretos e apresentar informações relevantes de maneira direta e acessível.

“Muitas organizações têm um departamento de inteligência de ameaças e estão empacotando essas informações para o conselho, para que os membros do conselho sintam que estão por dentro”, diz Chinn.

“Os membros do conselho querem saber o risco corporativo, o impacto comercial desse risco, até que ponto seus investimentos se transformaram em controles e se isso gerou uma redução significativa no risco.”

Ele cita como um forte exemplo de como oferecer essas informações uma organização onde o CISO implementou um aplicativo de autoatendimento que os membros do conselho podem usar para acessar essas informações sob demanda.

Antecipe as perguntas (complicadas)

A sala de reuniões não é lugar para surpresas. Portanto, Rob Clyde, presidente do conselho de administração da associação de governança de TI ISACA, aconselha os CISOs a antecipar as perguntas que receberão dos membros do conselho. Principalmente as perguntas mais difíceis de responder, como “Qual é a qualidade da nossa segurança?” e “Estamos seguros?”

Os CISOs muitas vezes lutam para responder adequadamente a esses tipos de perguntas e, como resultado, tendem a fornecer respostas inadequadas ou confusas ao responder em tempo real, diz Clyde.

Então, ele aconselha os CISOs a pensar no futuro e desenvolver respostas diretas. Ele também recomenda que os CISOs usem uma estrutura de maturidade de segurança cibernética, como a oferecida pelo CMMI Institute da ISACA, para oferecer uma resposta articulada e perspicaz a essas perguntas complicadas.

Da mesma forma, ele diz que os CISOs não devem surpreender o conselho, outros executivos e o CEO com suas respostas a essas perguntas. Clyde diz que os CISOs devem compartilhar suas respostas às perguntas antecipadas com seus CEOs; na verdade, os CISOs devem certificar-se de que seus CEOs sejam informados sobre todas as informações que apresentarem, para que não os coloquem em situações embaraçosas.

Seja honesto sobre os limites

Em uma nota relacionada, executivos experientes dizem que os CISOs devem ser realistas ao responder a perguntas sobre risco organizacional e postura de segurança cibernética. Isso, mesmo que temam que suas respostas possam parecer ineficazes.

“Alguns conselhos perguntarão: ‘Estamos 100% seguros?’ Você nunca deve responder afirmativamente ou responder de forma imprecisa, dando garantias infundadas”, diz Clyde.

Tente não assustar a diretoria

Os CISOs veem o volume crescente e a sofisticação crescente dos ataques de segurança cibernética. Portanto, não é de surpreender que eles busquem compartilhar essas informações com seus conselhos enquanto explicam os recursos necessários para combater todas essas ameaças.

“Você tem alguns CISOs que entram e listam todas as coisas ruins que estão acontecendo e fazem parecer que o céu está caindo”, diz Hayslip, “mas esse [clima de] medo, incerteza e dúvida realmente não funciona para o conselho, e um CISO pode se safar uma vez, mas tudo o que ele vai fazer é se prejudicar com o conselho se fizer isso de novo.”

A diretoria certamente quer dados sobre as dificuldades da segurança cibernética da empresa. No entanto, eles querem essas informações de maneira que lhes permita tomar decisões informadas sobre onde melhor colocar seus investimentos em segurança para mitigar seus maiores riscos.

Consiga um aliado

James Carder, CISO da empresa de soluções de segurança LogRhythm, cultivou um relacionamento com um membro do conselho que tinha formação técnica. Então, o procurou como um mentor que poderia ajudá-lo a se preparar para as reuniões do conselho, revisar o material enviado ao conselho e defender a segurança de estratégias em seu nome.

Não à toa, ele aconselha outros CISOs a fazerem o mesmo.

“Encontre um aliado na diretoria. Eles lhe darão feedback antes de você apresentar ao conselho, [aconselhando] quais palavras são importantes e o que vai ressoar com o resto dos membros. E, não obstante, esse aliado pode conversar sobre segurança com o conselho quando você não estiver lá e conduzir as mudanças que deseja”, diz Carder.

Vá direto ao ponto

Os CISOs estão acostumados a apresentações em conferências em que há um acúmulo do ponto principal. No entanto, esse tipo de abordagem não funciona bem para conselhos que valorizam o tempo.

“Vá direto ao ponto desde o início. O conselho quer saber de antemão por que você está lá”, diz Clyde. “E se há algo que a diretoria precisa saber para tomar medidas – por exemplo, eles precisam considerar a compra de um seguro de segurança cibernética ou descobrir uma política sobre pagar resgate se houver um ataque de ransomware – identifique isso e identifique isso logo de cara.”

Além disso, ele diz que os CISOs podem fornecer informações de apoio conforme o tempo permitir, sabendo que os membros do conselho podem acessar qualquer informação necessária no material escrito enviado antes da reunião.

Pule a conversa sobre tecnologia

Carder diz que certa vez exagerou seu trabalho de segurança ao conselho, um erro que ele sabia que cometeu quando os membros do conselho repetidamente tiveram que interromper sua apresentação para perguntar sobre os termos que ele estava usando e os conceitos que estava descrevendo.

“Achei que eles conheciam certa terminologia de tecnologia de segurança”, diz ele, “e então percebi que estava comunicando demais todos esses detalhes em vez de ser conciso e comunicar os riscos”.

Portanto, hoje Carder agora está mais consciente de deixar informações profundamente técnicas de fora de sua apresentação; não há detalhes sobre as explorações mais recentes ou as mais recentes tecnologias de prevenção de perda de dados ou fornecedores de SIEM de escolha ou produtos de detecção de intrusão. Em vez disso, ele concentra a conversa em pontos de alto nível sobre segurança e apresenta as informações em termos comerciais simples.

Apresente o valor para o negócio

Muitos CISOs têm problemas para calcular o ROI dos negócios de seus investimentos em segurança. Entretanto, por outro lado, o que a diretoria quer saber é justamente o impacto nos negócios de seus riscos e investimentos em segurança cibernética.

É isso que a Hayslip pretende entregar. “Mostro como meus programas impactam as equipes que ganham dinheiro; está mostrando como estamos ajudando-os a fazer o que fazem”, diz ele.

Certa vez, ele trabalhou em uma empresa que tinha cerca de 50 máquinas desligadas a cada mês devido a malware. Então investiu em tecnologias para reduzir essa média mensal. Quando se apresentou ao conselho, Hayslip não se concentrou no custo das novas tecnologias, mas sim no valor que o investimento trouxe para a organização por meio de menores custos de remediação e redução do tempo de inatividade.

“Esse é o tipo de história de valor sobre o qual você precisa falar, além do fato de estar reduzindo o risco”, diz ele.

Determinar medidas de sucesso

Os CISOs devem refletir se estão transmitindo informações adequadamente para seus conselhos. Afinal, a forma como eles estão comunicando os impactos comerciais de suas estratégias de segurança se correlacionam com quanto suporte e financiamento eles receberão para sua estratégia de segurança, diz Chinn.

Chinn conhece um CISO que julgou seu sucesso nessa área pela forma como os membros de seu conselho reagem quando as violações de dados corporativos são notícia.

“Ele diz que sabe que está fazendo um bom trabalho informando o conselho quando os membros do conselho fazem perguntas inteligentes ou não fazem perguntas após a notícia de uma violação, porque isso mostra que eles confiam nele como CISO”, diz Chinn.

Aproveite a oportunidade

Os CISOs devem apresentar-se ao conselho completo, diz Clyde, observando que muitos CISOs apresentam não aos conselhos de administração completos, mas aos comitês de auditoria e risco. Ou seja, eles devem tomar a iniciativa de entrar nas agendas de seus conselhos, se ainda não estiverem.

Além disso, os CISOs devem ver seu tempo junto da diretoria como uma oportunidade para evangelizar a importância de um programa de segurança cibernética forte. Isso além de educar sobre os pontos fortes, lacunas e estratégias da função de segurança cibernética da organização. A ISACA recomenda que os CISOs se reúnam com seus conselhos pelo menos uma vez por ano, diz Clyde.

“Trata-se de construir confiança”, diz Hayslip. “O conselho pode ver que você está fazendo as coisas, e eles sabem não apenas que você conhece seu trabalho, mas que entende o negócio e está alinhando seu programa de segurança para apoiar isso.”

Como CISO, você também pode contar com o apoio de uma empresa de TI especializada em segurança a fim de ajudar a identificar riscos e oportunidades de melhoria.

Diferenciais da Infonova

A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.

BACKUP

Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.

VALOR FINANCEIRO

O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.

LIBERAÇÃO DO RH

O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.

FLEXIBILIDADE – HUB DE TECNOLOGIA

A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:

Ar condicionado;
Outsourcing de impressão;
Links de internet;
Compra de materiais e mais.

ALOCAÇÃO DE DESENVOLVEDORES

A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.

RETENÇÃO DE COLABORADORES

Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.

LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES

Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.

NÃO TEM MULTA DE CONTRATO

A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.

PODE PARAR QUANDO QUISER

Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.

CONTINUAMOS AMIGOS

Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.

DORMIR TRANQUILO

Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.

Posts recentes

posts relacionados

Guia de empresa especializada em segurança da informação

17/04/2024 Nenhum comentário

Desde a pandemia de 2020, que popularizou o trabalho remoto e as competências digitais em todo o mundo, várias empresas

Tudo sobre soluções de segurança da informação?

10/04/2024 Nenhum comentário

As soluções de segurança da informação são produtos ou serviços projetados para proteger sistemas e dados digitais contra ataques cibernéticos.

Consultoria em segurança da informação

03/04/2024 Nenhum comentário

Segundo o Gartner, a consultoria em segurança da informação são serviços de assessoria e consultoria relacionados ao design, avaliação e

Perguntas
frequentes

Já tenho quem me atenda hoje, como funciona a transição?

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

Gostaria de reduzir custos e melhorar o desempenho, isso é possível?

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

Tenho um time interno, vocês podem absorver os profissionais?

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

Vocês cuidam da LGPD?

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

Como funciona a transição?

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Quanto tempo leva a transição?

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

Vou precisar investir muito?

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Como ficam os usuários home office?

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

Vocês trabalham com Azure, AWS ou Google Cloud?

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.