Conselhos não querem promessas de segurança - eles querem ação

A cibersegurança nunca esteve tão visível nas empresas. O grande número de histórias sobre hacks que afetam as empresas colocou isso na agenda, enquanto o Requisitos da Comissão de Valores Mobiliários sobre relatórios de segurança cibernética forçará outros a melhorar sua posição também. O impacto aqui significa que os conselhos de administração estão mais propensos do que nunca a incluir o CISO ou equivalente.

De acordo com Heidrick e Struggles' 2022 Pesquisa do diretor de segurança da informação, os CISOs já são ouvidos pelo conselho — 88% apresentam mensalmente suas atividades ao conselho completo ou a um comitê do conselho de segurança cibernética.

Então, como profissionais de cibersegurança, deveríamos ter alcançado aquela terra prometida onde nossa influência é sentida e podemos alcançar os objetivos que queremos alcançar, certo? Errado. Como um cachorro que perseguiu um carro, agora o pegamos e devemos descobrir exatamente o que vamos conseguir com a responsabilidade resultante. A verdade é que o trabalho duro está apenas começando.

Ação, não palavras

Não é o suficiente para fornecer informações sobre segurança que o tabuleiro possa entender, mesmo que seja uma habilidade por si só. O maior desafio que os CISOs enfrentam é como demonstrar que nossos processos e atualizações de segurança reduzirão o risco de maneiras mensuráveis ​​e alcançáveis. Para aqueles de nós que lutaram para conseguir um lugar à mesa, essa resposta imediata pode parecer um retorno insatisfatório de todo esse investimento.

Os conselhos estão preocupados com riscos e responsabilidades, então sua abordagem deve concentre-se no risco, probabilidade e mitigações. Essa ênfase na ação pode ser um estímulo tremendo para fazer mudanças em sua abordagem. Isso também pode ser uma oportunidade para ver como obter mais do básico em toda a sua operação. Rastrear áreas como gerenciamento de ativos e correções pode não ser relevante para os relatórios do conselho, mas melhorar esses processos usando automação e IA pode levar a melhorias significativas.

Por exemplo, obter mais suporte do conselho pode oferecer a oportunidade de adotar essa abordagem de “folha de papel em branco” para o planejamento e processo de segurança, usando autoridade do conselho para forçar atualizações ou novas formas de trabalhar. No entanto, para a maioria das empresas estabelecidas, essa abordagem pode não ser possível. A maioria das organizações considera que será violada ao articular sua postura de segurança. Eles agora precisam dar um passo adiante e aceitar que a mudança é inevitável e que alguns processos e técnicas tradicionais simplesmente não são rápidos o suficiente para acompanhar o nível e a sofisticação das ameaças atuais.

Demonstrar impacto

O segundo elemento aqui é demonstrar que suas ações estão tendo impacto. Para isso, você deve considerar se suas mudanças terão resultados imediatos ou se serão sentidas a longo prazo. Da mesma forma, você terá que entender se esses resultados representam melhorias pontuais ou oportunidades de ganhos de longo prazo, pois isso afetará a forma como você discute essas áreas com o conselho. Essa abordagem vem com um aviso – certifique-se de observar o risco. Embora os ganhos rápidos sejam bons para as relações públicas, eles nem sempre reduzem o risco, portanto, os CISOs devem fazer as duas coisas.

Para os novos na função, fazer alterações pode levar a melhorias rápidas. Por exemplo, melhorar a priorização de patches deve facilitar a correção de problemas críticos e de alto risco de segurança. Provar que esses problemas foram corrigidos dentro dos parâmetros acordados do contrato de nível de serviço é uma ótima maneira de demonstrar que você está gerenciando os problemas — e, portanto, os riscos — com eficiência. No entanto, seu SLA pode precisar ser alterado — por exemplo, 30 dias para corrigir problemas críticos não é suficiente. Esses dados também podem ser usados ​​para reduzir os custos do prêmio de seguro cibernético, pois você pode demonstrar um sistema bem gerenciado e mantido ao longo do tempo.

Como parte disso, você também deve analisar como gerenciar as expectativas em relação ao desempenho de longo prazo. À medida que você melhorar, o nível de risco continuará caindo com o tempo – mas a curva será menos íngreme e os ganhos serão mais marginais. Com o tempo, o custo para melhorar o desempenho pode ser muito maior e o retorno menos visível. Este é o sinal de um programa de segurança cibernética maduro e eficaz, com forte ênfase no gerenciamento de riscos, mas levará muito tempo para ser alcançado. Definindo expectativas sobre desempenho e risco cedo, portanto, ajudará a obter o espaço para respirar de que você precisa para continuar a agir.

Tome a iniciativa

Obter a atenção do conselho é um objetivo que muitos CISOs têm, pois faz parte de sua jornada de carreira e os coloca em uma boa posição para cargos futuros. Isso enfatiza o que você está fazendo e como suas prioridades estão sendo realizadas. De acordo com um CISO com quem conversei sobre relatórios do conselho, é semelhante à famosa citação de Oscar Wilde: “A única coisa pior do que ser falado é não ser falado”. Agir é a melhor abordagem para mostrar que você merece essa atenção.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/risk/boards-dont-want-security-promises-they-want-action