CISO: como provar o valor da cibersegurança para o board

Para especialista, se conseguir mostrar dados sobre a como a segurança cibernética afeta o ROI, o CISO tem grandes possibilidades de convencer o comitê de diretores sobre o seu real valor
Da Redação
31/03/2022

Muitas empresas ainda não compreendem o valor da segurança cibernética e só acabam assimilando isso quando ocorre uma violação. E este é justamente um dos principais desafios que os CISOs enfrentam atualmente: demonstrar aos membros do board que, ao contrário do que muitos alegam, cibersegurança não é um centro de custo e pode, sim, ter um valor mensurável para a organização. 

Para tentar jogar luz sobre essa questão, a seguir transcrevemos um episódio do The New CISO Podcast com Andrew Obadiaru, CISO e chefe de TI da Cobalt, no qual ele fornece conselhos e dicas para os CISOs, além de orientá-los a como responder a algumas das perguntas mais difíceis que possam surgir. O The New CISO Podcast é publicado pela Exabeam, fornecedora de plataforma de gerenciamento de segurança, análise comportamental de usuário e entidade e SOAR (Security Orchestration, Automation and Response).

Obadiaru admite que provar o valor da segurança cibernética para a empresa realmente é um desafio. Segundo ele, como os crimes cibernéticos podem acontecer devido às ações de qualquer pessoa dentro de uma organização, é especialmente importante transmitir o objetivo do departamento. “Se as pessoas não veem valor no que o CISO está trazendo é porque ele não é capaz de demonstrar isso ou de fornecer KPIs (indicadores-chave de desempenho) ou estatísticas para comprovar o valor agregado [da cibersegurança]”, diz. Ele acredita que, se o CISO conseguir mostrar dados sobre como a segurança cibernética afeta o ROI (retorno do investimento), ele terá grandes possibilidades de convencer o board sobre o seu valor.

Construir conexões

Ao “vender” a ideia de segurança cibernética para a organização, Obadiaru diz que o CISO deve se apoiar em soft skills. “Ele deve encontrar o equilíbrio certo entre linguagem técnica e de negócios para se expressar ao conversar com executivos.” Segundo ele, os CISOs devem se concentrar na compreensão dos conceitos e entrar em detalhes mais técnicos somente se solicitados. “Ele precisa saber como se envolver, como construir relacionamentos e como tornar a segurança relevante para todas as unidades de negócios.”

Antes de entrar em uma reunião de orçamento, é importante que o CISO tenha aliados a seu lado, diz Obadiaru. Para isso é preciso que ele construa conexões, o que pode levar semanas ou até meses. “Esses relacionamentos devem ajudá-lo a transmitir aos líderes de negócios como a segurança cibernética afetará seus departamentos. Isso garante que, ao solicitar um orçamento maior e explicar o motivo, os demais chefes de departamento entendam a relevância e tenham maior probabilidade de apoiá-lo”, diz o executivo.

Reuniões de orçamento

Ao entrar em reuniões de orçamento, a abordagem deve ser diferente de outros tópicos. Obadiaru sugere que o CISO se faça as seguintes perguntas: “O que precisa ser protegido como parte da operação comercial diária? Quão críticos são esses ativos (dados, sistemas, dispositivos e as coisas que a organização precisa para funcionar)? Quão protegidos esses ativos estão? Se eles não estiverem suficientemente protegidos ou a discussão sobre orçamento for em torno desses ativos, fica muito mais fácil de transmitir a mensagem.”

Veja isso
CISOs veem suas empresas sem resiliência cibernética
Receita para ser bem-sucedido como CISO, segundo um CISO

De acordo com o executivo, o CISO precisa fazer com que todos entendam que o risco à segurança da organização pode levá-la à perda de vantagem competitiva ou de participação de mercado, prejuízo à reputação ou mesmo a perdas financeiras. “Quando as pessoas conseguem entender o que é valorizado dentro da empresa e quão bem ou não ela está protegida, então o CISO pode transmitir adequadamente o que precisa.” Ele enfatiza a importância de o líder de segurança conhecer seu público e o nível de conhecimento em relação aos tópicos sobre os quais ele deseja tratar. Isso o ajudará a gerenciar o nível de detalhes que deseja demonstrar. O conhecimento técnico às vezes é importante.

Maturidade vs. eficácia

O chefe de TI da Cobalt diferencia uma organização madura de uma eficaz [em cibersegurança]. Segundo ele, organização madura pode ter muita documentação, etapas repetitivas e outros processos sólidos. No entanto, a maturidade nem sempre indica o quão eficaz ela é em uma crise, porque a organização pode se tornar complacente. “O fato de possuir um plano de resposta a incidentes completo ou maduro não indica necessariamente a eficácia desse processo. “Para mim, o CISO precisa encontrar uma maneira de testar essa eficácia separadamente do que se pode considerar um processo maduro.”

De acordo com Obadiaru, não basta dizer “construímos um documento que foi assinado por todas as principais partes interessadas, então esse é um processo maduro”. É preciso que a empresa seja capaz de testar separadamente para garantir que o que tem implementado seja consistente com um processo eficiente e que todos os envolvidos entendam suas funções e responsabilidades.

“Estamos seguros?”

Muitas vezes, o CEO ou outros executivos perguntam “estamos seguros agora?” No geral, Obadiaru aconselha os CISOs a nunca se apressarem em responder a qualquer pergunta. “Ninguém precisa provar o quão inteligente é respondendo rapidamente — em vez disso, é mais importante responder corretamente. Ele também compartilha conselhos de carreira: “tenha métricas, avalie a organização e tome a decisão certa”.

O CISO tem um papel importante com grande responsabilidade. Por isso, ele deve ser claro ao se comunicar com outras pessoas na organização sobre riscos, criar conexões dentro da organização e garantir que seja verdadeiro e cuidadoso ao responder a perguntas.

Compartilhar:

Últimas Notícias