Uma segurança cibernética eficaz também está relacionada ao suporte e investimento do conselho. No entanto, o envolvimento do conselho varia entre as empresas. Em pesquisa recente sobre violações de cibersegurança, foi observado que há mais maturidade sobre o assunto em organizações maiores: 53% das grandes empresas têm membros do conselho ou curadores responsáveis pela segurança cibernética, em comparação a 30% de todas as empresas.
O cumprimento das obrigações corporativas em vulnerabilidade digital depende da compreensão precisa dos riscos e da postura interna quanto aos aspectos de segurança, além de conhecimento técnico para reconhecer a relevância desta pauta. Por isso, os líderes em Segurança da Informação têm um papel fundamental no apoio ao conselho e no suporte aos processos de governança.
Compreendendo os dados
Em 2020, foi publicado o Cyber Security Toolkit for Boards pelo UK NCSC, para ajudar membros do conselho a compreender melhor dados de segurança cibernética, apresentando-os num contexto mais amplo a fim de facilitar a interpretação e fornecer mais escopo para análises robustas. Porém, de acordo com a pesquisa de violações de segurança cibernética, apenas 21% dos membros do conselho de médias empresas e 30% dos membros das grandes empresas estão cientes disso.
A falta de entendimento dos dados é apenas parte do problema. É necessário apresentar ao conselho as informações corretas e de maneira significativa. Os times de cibersegurança geralmente apresentam dados que são muito genéricos e quantitativos por natureza, tornando difícil para os conselhos entender como os riscos podem se materializar e seu impacto real. É recomendado que os negócios exponham um cenário realista e prático de suas ameaças e de seu gerenciamento de riscos para fortalecerem seu perfil de segurança cibernética.
Quem está apresentando seus dados de segurança cibernética?
Os Diretores de Segurança da Informação (CISOs - Chief Information Security Officers) costumam liderar as apresentações ao conselho, mas há um potencial conflito aqui, no qual as estruturas de governança podem incentivar os CISOs a retratar positivamente a gestão de riscos cibernéticos e minimizar os pontos negativos.
Os conselhos, por sua vez, não precisam de garantias de que tudo está bem, mas sim de uma imagem precisa das ameaças atuais, riscos associados e controles de mitigação para que possam tomar decisões estratégicas. Se o conselho não souber que há um problema, não poderá colaborar e ajudar a resolvê-lo.
Quais informações estão sendo apresentadas?
A governança eficaz depende de uma análise sólida e abrangente, por isso é fundamental informar de maneira acessível e significativa. No reporte ao conselho, os CISOs geralmente focam no número de vulnerabilidades identificadas e tentativas de invasão que foram impedidas. Embora estas informações possam ajudar a entender a escala do problema, não são necessariamente os dados mais valiosos para a tomada de decisões.
O que o conselho realmente precisa é de uma visão geral dos riscos críticos para os negócios, com uma análise do que foi corrigido e do que não foi, informações sobre o tipo de ameaças enfrentadas pela organização, riscos emergentes e o que acontecerá caso estes se materializarem. Ele também precisa saber quais são os riscos residuais e se organização estará disposta a assumi-los.
Uma lista de invasões detectadas e malsucedidas, por exemplo, não ajuda uma empresa de serviços financeiros a entender os riscos em torno de sua resiliência operacional e proteção de dados. Mas uma análise detalhada sobre o ransomware em questão e quanto tempo um invasor levaria para acessar os dados pessoais ou desativar um serviço crítico poderá contribuir muito mais. Afastar a discussão das estatísticas e aproximá-la dos riscos-chave pode ajudar seu conselho a direcionar esforços e investimento ao lugar certo, aumentando a maturidade de sua segurança cibernética.
Objetivos estratégicos
Segurança cibernética é uma das muitas áreas de uma organização, e é função do conselho coletar informações de cada uma delas para elaborar uma estratégia. Para suportar este processo, o papel do CISO consiste em apresentar informações precisas para fundamentar a estratégia e tomar as medidas necessárias para fornecê-las. É importante manter ambas as funções em mente ao trabalhar com o conselho e ao alocar responsabilidades no time de segurança cibernética. Responsabilidades claras são essenciais para rastrear ações corretivas críticas e direcionar dúvidas ao profissional correto caso o desempenho cibernético não atinja a qualidade esperada.
Viabilizar a estratégia também depende da coordenação com outros departamentos. Cibersegurança pode ser um setor mais isolado, assim outras equipes geralmente têm uma compreensão limitada do seu trabalho. A criação de grupos interdepartamentais para compartilhar conhecimento e construir confiança pode ajudar a alinhar as atividades em direção ao mesmo objetivo final.
Desenvolvimento da cultura interna por meio de treinamentos
Embora os treinamentos obrigatórios possam agregar valor significativo à compreensão dos profissionais sobre os riscos cibernéticos, eles podem não ser suficientes. É essencial oferecer treinamentos e fóruns abertos de forma regular para compartilhar conhecimento de forma relevante, direcionada e acessível a todos os colaboradores. Essas iniciativas precisam ser apoiadas pela cultura da empresa, ajudando a área de cibersegurança a envolver pessoas de toda a organização. A cultura certa pode capacitar os funcionários a levantarem incidentes sem medo de represálias.
No entanto, o treinamento não é uma via de mão única. Embora seja importante desenvolver conhecimento sobre segurança cibernética em toda a organização, a equipe responsável também precisa entender o que o resto da empresa faz e como eles se encaixam nisso. É possível, por exemplo, que não saibam muito sobre o cenário regulatório do negócio, mas uma compreensão básica dos principais regulamentos, como resiliência operacional, é inestimável. Isso pode oferecer à sua equipe contexto sobre porque algumas atividades foram priorizadas pelo conselho e apoiar na gestão eficiente das cargas de trabalho, além de ajudar a área de cibersegurança a preparar seus processos, acordos de terceirização e futuros recursos de tecnologia. Também poderá ser útil no relatório do seu CISO ao conselho, ajudando a identificar as informações que representam um nível de ameaça significativo e que agregam valor para fins de governança.
Apoio ao conselho
Seu time de cibersegurança tem um papel crítico no suporte à boa governança organizacional. Para isso, você precisa pensar em como trabalha com o conselho e apoia o trabalho deles.
- Como você está capacitando os membros do conselho para entender os conceitos emergentes de segurança cibernética?
- Como você pode incentivar os CISOs, ou outras pessoas presentes ao conselho, a representar com precisão suas posturas e desafios de segurança cibernética?
- Como você pode reorientar os dados que apresenta ao conselho para refletir os riscos críticos e contribuir ativamente para definir a estratégia?
- Como você pode ajudar a implementar uma estratégia mais ampla? Há formas de colaborar com outros departamentos?
- Como você está oferecendo treinamento em segurança cibernética para outros departamentos e como está aprendendo com eles para agregar valor?
Refletir e agir com base nos pontos acima pode aumentar a maturidade da sua segurança cibernética, melhorar a supervisão do conselho e apoiar os objetivos estratégicos de toda a empresa.
![Conheça nossos especialistas]()
Por: Ankur Aeran, Diretor de Segurança Cibernética da Grant Thornton UK.
