Blog Infonova

Informação para tomada de decisão

Resultado da pesquisa por: ""

Perguntas de segurança que sua diretoria fará com certeza

Por Juliana Gaidargi em 10/12/2021 em Segurança

Pode apostar que, hoje em dia, a sua diretoria está pronta para ir muito além do básico em relação às perguntas de segurança digital.  Afinal, atualmente, os conselhos estão mais informados e preparados para desafiar a eficácia dos programas de segurança de suas empresas. Isso acontece porque eles estão tendo diálogos mais complexos e matizados com os líderes de gerenciamento de segurança e risco. Tudo, graças à necessidade de alcançar ambições digitais em meio a ameaças crescentes de segurança cibernética para equipes remotas.

perguntas segurança

Portanto, é altamente improvável que eles façam perguntas básicas de segurança como:

Quão seguros estamos?

Por que precisamos de mais dinheiro para segurança, quando acabamos de aprovar o X no ano passado? 

Como assim, fomos hackeados cem vezes? 

Na verdade, ao invés disso, as perguntas sobre segurança serão muito mais específicas e precisas em suas sondagens.

“Os líderes de segurança e gerenciamento de risco muitas vezes lutam para responder às perguntas do conselho sobre segurança que são moldadas por relatórios da mídia. Contudo, isso leva a uma quebra de confiança entre líderes de negócios e líderes de tecnologia”, disse Sam Olyaei, analista diretor do Gartner.

Portanto, cabe a você preparar respostas que conduzam a discussão em direção à garantia, conformidade e suporte para práticas de segurança. Afinal, além das paixões e preocupações individuais, os conselhos se preocupam coletivamente com três coisas:

  1. Receita / missão: receita operacional ou não operacional e melhoria dos objetivos da missão não lucrativa;
  2. Custo: prevenção de custos futuros e redução imediata das despesas operacionais;
  3. Risco: financeiro, mercado, conformidade regulatória e segurança, inovação, marca e reputação.

No entanto, as perguntas do conselho podem ser categorizadas nesses cinco grupos a seguir:

1 – A questão do incidente

Com o que parece: como isso aconteceu? Achei que você tinha tudo sob controle. O que deu errado?

Por que perguntam?

Essas perguntas sobre a segurança surgem quando um incidente ou evento ocorreu e o conselho já sabe sobre isso ou o diretor de segurança da informação (CISO) os está informando sobre o assunto. Isso é particularmente relevante agora, quando os conselhos podem fazer perguntas específicas para proteger a organização enquanto uma grande parte dos funcionários está trabalhando em casa. Contudo, essas perguntas também podem surgir em referência a qualquer outro incidente, incluindo violações de dados que podem ter impactado a organização em geral.

Como responder

Um incidente (independentemente da categoria) é inevitável, portanto, atenha-se aos fatos. Ou seja, compartilhe o que você sabe e o que está fazendo para descobrir algo que ainda não sabe. Resumindo, reconheça o incidente, forneça detalhes sobre o impacto nos negócios, descreva os pontos fracos ou lacunas que precisam ser resolvidos e forneça um plano de mitigação.

Entretanto, tenha cuidado para não endossar uma opção como a escolha final quando estiver na frente do conselho. Afinal, a responsabilidade pela supervisão da segurança e risco permanece com o líder de segurança, mas a responsabilidade deve sempre ser definida no nível do conselho / executivo.

2 – A questão do trade-off

Com o que parece: estamos 100% seguros? Tem certeza?

Por que perguntam?

Perguntas sobre segurança como essa geralmente vêm de membros do conselho que não entendem de verdade os riscos de segurança e o seu impacto nos negócios. Afinal, é impossível estar 100% seguro ou protegido. Portanto, sua função é identificar as áreas de maior risco e alocar recursos finitos para gerenciá-las com base no apetite do negócio.

Como responder

Comece com algo como: “Considerando a natureza em constante evolução do cenário de ameaças, é impossível eliminar todas as fontes de risco de informação. Minha função é implementar controles para gerenciar o risco. Afinal, conforme nosso negócio cresce, temos que reavaliar continuamente quanto risco é apropriado. Contudo, nosso objetivo é construir um programa sustentável que equilibre a necessidade de proteção com a necessidade de administrar nossos negócios. ”

3 – A questão da paisagem

Com o que parece: quão ruim está lá fora? E o que aconteceu na empresa X? Como estamos nos saindo em comparação com os outros?

Por que perguntam?

Os membros do conselho buscam relatórios de ameaças, artigos, blogs e pressão regulatória para entender os riscos. Então, eles sempre irão perguntar sobre o que os outros estão fazendo, especialmente organizações semelhantes. Além disso, eles querem saber como é o “clima” e como eles se comparam aos outros, por isso fazem essas perguntas sobre segurança.

Como responder

Evite adivinhar a causa raiz de um problema de segurança em uma empresa diferente, dizendo: “Não quero especular sobre o incidente na Empresa X até que mais informações estejam disponíveis, mas terei o maior prazer em fazer o acompanhamento com você quando eu souber mais”. Portanto, considere discutir uma série de respostas de segurança mais amplas, como identificar um ponto fraco semelhante e como você está atualizando os planos de continuidade de negócios.

4 – A questão do risco

Como o que parece: sabemos quais são os nossos riscos? O que te mantém acordado à noite?

Por que perguntam?

O conselho sabe que aceitar o risco é uma escolha. Se não sabe, esse é um desafio que você precisa enfrentar. Portanto, eles querem saber se os riscos da empresa estão sendo administrados, e você deve estar preparado para explicar a tolerância ao risco da organização. Afinal, apenas assim você conseguirá defender as decisões de gerenciamento de risco.

Como responder

Explique o impacto comercial das decisões de gerenciamento de risco e garanta que suas posições sejam apoiadas por evidências. A segunda parte é vital, porque os conselhos tomam decisões com base na tolerância ao risco. Quaisquer riscos acima do limite de tolerância requerem um remédio para trazê-los para uma área segura. Dito isso, isso não requer necessariamente mudanças dramáticas em curtos períodos de tempo. Ou seja, tome cuidado para não exagerar.

Lembre-se que a diretoria busca garantias de que você está gerenciando adequadamente os riscos materiais. Portanto, abordagens sutis e de longo prazo podem ser apropriadas em alguns casos. Afinal, o conselho é responsável pelo risco “corporativo”, do qual o risco cibernético é uma pequena, embora importante, parte. Então, desafie-se a ser breve e direto ao ponto. A falta de controle não é um risco e nem a próxima grande ameaça. Concentre-se nos itens de alto valor que você controla, como perda de propriedade intelectual, regulamentação e risco de terceiros.

5 – A questão de desempenho

Com o que parece: estamos alocando recursos de maneira adequada? Estamos gastando o suficiente? Por que estamos gastando tanto?

Por que perguntam?

A diretoria quer ter certeza de que os líderes de segurança e gerenciamento de risco não estão parados. Contudo também se interessa pelas métricas e o ROI da TI.

Como responder

Use uma abordagem de balanced scorecard que use um mecanismo simples de semáforo. A camada superior deve expressar as aspirações de negócios e o desempenho da organização em relação a essas aspirações. Tanto quanto possível, explique as aspirações em termos de desempenho de negócios, não de tecnologia. O desempenho, então, é sustentado por uma série de medidas de segurança que são avaliadas usando um conjunto de critérios objetivos.

FALE
COM UM
ESPECIALISTA

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA