Icebergs à vista! Cinco perguntas que todo conselho deve fazer ao CISO

Você está na cidade para uma reunião do conselho e encontra o diretor de segurança da informação (CISO) no elevador. Ou, melhor ainda, ele está na reunião do conselho para fazer um resumo sobre segurança cibernética. Você gostaria de ter uma função ativa na governança de dados. Em primeiro lugar, parabéns por isso, mas o que você deve perguntar? Você não é especialista em segurança cibernética…

De fato, muitos membros do conselho podem não entender completamente a função do CISO ou o que o diferencia do diretor de tecnologia da informação (CIO) e do diretor técnico (CTO). Enquanto os CIOs e CTOs fazem a tecnologia funcionar, os CISOs identificam e gerenciam as ameaças tecnológicas às operações ou à reputação da empresa. Eles devem ter uma visão de 360 graus das ameaças e de quanto elas podem custar à empresa. Além disso, devem estar atentos aos custos para reduzir a probabilidade de um ataque cibernético a um nível aceitável.

Diante de um número cada vez maior de violações de segurança e do escopo e da magnitude das consequências, convém aproximar-se do CISO o máximo possível. Você deve exigir acesso direto ao CISO de maneira regular e formal.

Isso não significa que você precisa se aprofundar em detalhes técnicos sobre riscos e planos de mitigação. Ao fazer perguntas de alto nível, você pode reunir informações que demonstram que você participa ativamente das decisões estratégicas relacionadas à segurança da informação:

1. Quais são as principais ameaças à segurança da informação enfrentadas por sua empresa? Essas ameaças são os “icebergs” que têm o potencial de danificar gravemente a viabilidade da empresa. Muitas vezes o roubo de dados domina as manchetes, mas os ataques cibernéticos são extremamente diversificados. Outras possíveis ameaças incluem um ataque de negação de serviço, que poderia interromper as operações da sua empresa, malware e phishing, para citar apenas alguns exemplos.

2. Para cada uma dessas grandes ameaças, quais são as estratégias de mitigação de alto nível da sua empresa e os custos para executá-las? Descubra como a equipe de segurança da informação planeja reduzir essas ameaças a um nível tolerável e verifique se os custos de mitigação não superam os benefícios esperados. O CISO também deve ser capaz de explicar como a equipe monitora o desempenho das ações de mitigação.

3. Com que frequência a sua empresa reavalia os riscos previamente identificados e procura identificar novos? A equipe de segurança da informação nunca deve afirmar veementemente que conhece todas as principais ameaças ou que as está reduzindo de forma eficaz. Certifique-se de que a equipe reavalia os possíveis icebergs pelo menos anualmente e reexamine se as estratégias de mitigação ainda são eficazes.

4. Qual é o plano de resposta a crises quando o gerenciamento de riscos falha? Trata-se de uma questão de quando, e não se, a sua empresa enfrentará um ataque cibernético. Como ela vai responder fará uma enorme diferença em termos de prejuízos financeiros e de reputação. O CISO deve ser capaz de apresentar slides que resumam o plano de resposta aos três principais cenários de ameaça. Certifique-se de que a equipe de segurança da informação realmente assimilou lições de incidentes anteriores internos e externos em seu esforço para gerenciar de forma agressiva os potenciais efeitos colaterais resultantes de ataques.

5. Até que ponto os orçamentos para gastos com tecnologia e segurança estão alinhados e proporcionalmente dimensionados? Os gastos com segurança devem crescer proporcionalmente aos gastos com tecnologia. A capacidade de a equipe de segurança da informação mitigar os riscos deve acompanhar a evolução da estrutura tecnológica. Verifique se a equipe tem os recursos necessários para acompanhar esse ritmo.

Lembre-se de que você não precisa ser nenhum especialista em segurança cibernética para conversar com o CISO. Se a discussão se desviar para detalhes técnicos, retome o rumo da conversa com o CISO para questões de negócios. Os mesmos princípios de bom senso e de avaliações de risco versus recompensas que norteiam as discussões quando se planeja uma fusão ou aquisição são igualmente úteis quando se discute sobre os riscos de segurança da informação com o CISO.

Nas próximas postagens, vamos aprofundar o que você deve buscar ao discutir cada uma dessas questões com o CISO.

BLOGS EM DESTAQUE