3 maneiras de falar a linguagem do conselho sobre riscos cibernéticos

Os dias de uma desconexão desesperada entre os líderes de segurança e a diretoria chegaram ao fim – pelo menos para empresas com uma postura de risco saudável. Com conhecimento digital ou não, no ambiente de negócios de hoje, os diretores do conselho reconhecem em grande parte que precisam entender como o risco de segurança cibernética se sobrepõe ao risco corporativo e as responsabilidades gerais de governança do conselho, e eles precisam pelo menos estar familiarizados com o risco cibernético e como ele pode impactar organização – financeira, de reputação, legal, operacional e de outra forma. Quanto mais digital o negócio se torna, mais a segurança cibernética se torna uma questão existencial a ser abordada, impactando a competitividade, continuidade, confiabilidade e confiança geral da empresa.

Violações de dados de alto perfil, ataques de ransomware e outras crises existenciais causadas por ataques cibernéticos nos últimos anos destruíram a noção desatualizada de que a segurança corporativa é o fardo da equipe de TI, substituída por um reconhecimento de que a segurança cibernética é um problema do conselho. No entanto, de acordo com uma pesquisa da ISACA (Information Systems Audit and Control Association) de 2017 sobre governança de tecnologia, 87% dos profissionais C-suite e membros do conselho dizem que não confiam nos recursos de segurança cibernética de suas empresas. Isso indica que, embora a maioria dos conselhos empresariais tenha reconhecido sua responsabilidade no que diz respeito ao risco cibernético, ainda há um nível de tradução necessária para tornar os insights sobre riscos cibernéticos mais digeríveis – e, portanto, mais úteis – para os conselheiros.

Aqui estão três dicas para comunicar o risco cibernético ao conselho.

Entenda a responsabilidade do conselho

A comunicação eficaz com o conselho sobre o risco cibernético exige que os CISOs entendam o escopo do conselho e suas responsabilidades fiduciárias no contexto de cada negócio, bem como como a tecnologia permite todo o ecossistema de negócios. Quando possível, os líderes de segurança estão bem servidos para obter o apoio de profissionais de gerenciamento de risco corporativo, que geralmente estão mais bem equipados para explicar aos diretores os riscos operacionais e estratégicos que fluem do risco cibernético.

Apresente os dados em um formato familiar

É útil apresentar a quantificação de risco por meio de painéis, ilustrando métricas como indicadores-chave de desempenho, indicadores-chave de controle e indicadores-chave de risco em categorias como perda de dados, confiabilidade de dados, confiabilidade de sistemas e fraude. Este tipo de dados permite que os conselhos tomem decisões informadas sobre considerações como orçamentos de segurança e a implantação de tecnologias emergentes, utilizando dados relevantes e no contexto do apetite de risco organizacional.

Conforme observado em um artigo recente da ISACA sobre o tópico: “Apresentar uma lista completa de cenários de risco para o conselho não é benéfico até que os cenários sejam ordenados e priorizados usando medição quantitativa em um formato familiar para executivos. Os membros dos comitês do conselho são hábeis na gestão de indicadores financeiros. Quanto mais uma medição de gerenciamento de risco se assemelha às demonstrações financeiras e às projeções de receita que o conselho normalmente vê, mais fácil será para os membros do conselho gerenciar o risco de segurança cibernética”.

Conheça seus benchmarks

Há outra maneira importante de falar a linguagem do conselho sobre o risco cibernético: enquadrar a discussão em termos de como a organização está se saindo em relação aos seus pares do setor. Essa conversa deve ir além de destacar histórias proeminentes no ciclo de notícias de grandes hacks que podem estar afetando os concorrentes do setor, embora possam certamente ser úteis para chamar a atenção do conselho. Especificamente, deve haver conversas substantivas sobre como a maturidade das medidas de controle da organização se compara a organizações semelhantes e, se houver um déficit, quais medidas podem ser necessárias para ajudar a fechar a lacuna.

Felizmente, ultrapassamos em grande parte o obstáculo de precisar convencer os conselhos da importância de supervisionar o risco cibernético empresarial. Hoje, os desafios que as equipes de segurança e risco enfrentam se concentram mais em encontrar a quantidade certa de detalhes para compartilhar com o conselho e apresentá-los de uma forma que os membros do conselho considerem incisiva e prática. Se as equipes de segurança estão encontrando um desafio para obter a adesão da liderança ou não estão recebendo a orientação geral de que precisam, pode ser hora de recalibrar como estão comunicando o risco cibernético ao conselho.