5 perguntas sobre segurança e risco que a diretoria ainda fará

A pandemia gerou várias incertezas aos diretores das organizações, que recorreram aos seus líderes de TI com uma lista infindável de perguntas sobre a segurança do sistema. As medidas de isolamento social, somadas à necessidade de migrar a força de trabalho para o home office, expôs as vulnerabilidades das organizações, muitas das quais a diretoria desconhecia até a necessidade bater à porta. O Gartner aponta que os conselhos costumam se preocupar com três coisas: receita/missão, custo e risco. A partir disso, a consultoria orienta os líderes de segurança e risco a responderem as principais questões da diretoria a partir de cinco áreas.

Recentemente, os conselhos têm solicitado aos líderes orientações sobre como navegar em uma pandemia global, aumento de ameaças de phishing e, potencialmente, uma força de trabalho não acostumada a trabalhar em casa. Provavelmente muitos líderes de segurança e risco ouviram perguntas como “Quão seguros estamos?”, “Por que precisamos de mais dinheiro para segurança, quando aprovamos o X no ano passado?”, “Como assim, tivemos quatro incidentes?” e etc.

“O problema é que essas perguntas não podem ser respondidas”, disse Sam Olyaei, Analista Diretor do Gartner. “Elas são movidos por informações públicas exageradas, incompletas ou contraditórias e são uma distração para questões mais relevantes”.

Segundo a empresa de consultoria, 96% das organizações de mais de US$ 1 bilhão se reportaram ao conselho pelo menos uma vez no ano passado. Hoje, os conselhos estão mais informados sobre s riscos cibernéticos, com apenas 15% dos diretores relatando que seus conselhos têm muito pouco ou nenhum conhecimento de cyberrisk, ante 22% em 2015.

Além disso, os conselhos estão usando o foco maior na segurança cibernética para orientar as decisões de negócios. Em 2019, uma pesquisa do Gartner com líderes de segurança e risco constatou que quatro em cada cinco entrevistados observaram que o risco influencia as decisões tomadas no nível do conselho.

Os líderes de segurança também precisam fornecer ao conselho algo que seja significativo para eles. Além das paixões e preocupações individuais, os conselhos geralmente se preocupam com três coisas: receita/missão, renda operacional ou não operacional e aprimoramento dos objetivos da missão não-receita; custo, no sentido de evitar custos futuros e diminuir imediatamente as despesas operacionais; e risco – financeiro, mercado, conformidade regulatória e segurança, inovação, marca e reputação.

“À medida que os membros do conselho percebem o quão crítico é a segurança e o gerenciamento de riscos, eles estão fazendo aos líderes perguntas mais complexas e diferenciadas”, disse Olyaei. “Os conselhos, hoje, estão se tornando mais informados e preparados para desafiar a eficácia dos programas de suas empresas”.

A maioria das perguntas do conselho pode ser categorizada em cinco áreas, de acordo com o Gartner:

A questão do incidente

Como é: Como isso aconteceu? Eu pensei que você tinha isso sob controle? O que deu errado?

Essas perguntas são feitas quando um incidente ou evento ocorre e a diretoria já sabe ou o CISO está informando sobre isso. Isso é particularmente relevante para os CISOs durante a pandemia da Covid-19, quando os conselhos podem fazer perguntas específicas para garantir a organização, enquanto grande parte dos funcionários trabalha em casa em condições incomuns. Isso também pode se referir a qualquer outro incidente, incluindo violações de dados que podem ter impactado a organização em geral.

Como responder: Um incidente (independentemente da categoria) é inevitável, portanto, seja factual, recomenda o Gartner. “Compartilhe o que você sabe e o que está fazendo para descobrir tudo o que não sabe. Em resumo, reconheça o incidente, forneça detalhes sobre o impacto nos negócios, descreva pontos fracos ou lacunas que precisam ser resolvidos e forneça um plano de mitigação”, aconselha a consultoria.

A questão do trade-off

Como é: somos 100% seguros? Você tem certeza?

Perguntas como essa são frequentemente feitas por membros do conselho que não entendem verdadeiramente a segurança e o impacto nos negócios. É impossível estar 100% seguro ou protegido. O papel do CISO é identificar as áreas de maior risco e alocar recursos finitos para gerenciá-los com base no apetite dos negócios.

O Gartner recomenda enquanto resposta: “Considerando a natureza em constante evolução do cenário de ameaças, é impossível eliminar todas as fontes de risco de informações. Meu papel é implementar controles para gerenciar o risco. À medida que nossos negócios crescem, precisamos reavaliar continuamente quanto risco é apropriado. Nosso objetivo é criar um programa sustentável que equilibre a necessidade de proteção contra a necessidade de administrar nossos negócios”.

A questão da paisagem

O que parece, provavelmente, como pergunta: quão ruim é por aí? E o que aconteceu na empresa X? Como somos comparados aos outros?

Membros do conselho encontrarão relatórios de ameaças, artigos, blogs e pressão regulatória para entender os riscos. Eles sempre perguntam sobre o que os outros estão fazendo, especialmente organizações de pares. Eles querem saber como é o clima e como eles se comparam aos outros.

A consultoria recomenda evitar adivinhar a causa raiz de um problema de segurança em outra empresa dizendo: “Não quero especular sobre o incidente na empresa XYZ até que mais informações estejam disponíveis, mas terei prazer em acompanhar com você quando eu souber mais. Considere discutir uma série de respostas de segurança mais amplas, como identificar uma fraqueza semelhante e como ela está sendo corrigida ou atualizando os planos de continuidade de negócios.

A questão do risco

Prepare-se também para se deparar com perguntas como “sabemos quais são nossos riscos? O que te mantém acordado à noite?”

A diretoria sabe que aceitar riscos é uma escolha (se não o fizer, é um desafio que você precisa resolver). Eles querem saber que os riscos da empresa estão sendo tratados. Os CISOs devem estar preparados para explicar a tolerância a riscos da organização para defender decisões de gerenciamento de riscos.

O Gartner recomenda: “Explique o impacto comercial das decisões de gerenciamento de riscos e garanta que suas posições sejam apoiadas por evidências. A segunda parte é vital porque os conselhos estão tomando decisões com base na tolerância ao risco. Quaisquer riscos fora do nível de tolerância requerem um remédio para trazê-los para dentro da tolerância. Isso não requer necessariamente mudanças drásticas em curtos períodos de tempo; cuidado com a reação exagerada”.

O conselho buscará garantias de que os riscos materiais estão sendo adequadamente gerenciados e que abordagens sutis de longo prazo podem ser apropriadas em alguns casos, diz o Gartner. “Lembre-se de que o conselho é responsável pelo risco “corporativo”, do qual o risco cibernético constitui um componente pequeno, embora importante, da organização. Desafie-se a ser breve e direto ao ponto. A falta de controle não é um risco, nem a próxima grande ameaça”, complementa a consultoria.

A questão do desempenho

Perguntas sobre recursos alocados adequadamente ou se os gastos são suficiente e ainda “por que estamos gastando tanto?” podem surgir a sua frente, pois o conselho deseja garantir que os líderes em segurança e gerenciamento de riscos não fiquem parados. Os membros do conselho desejam saber sobre métricas e ROI.

Como responder, segundo o Gartner, “use uma abordagem de balanced scorecard na qual a camada superior exprima as aspirações de negócios e o desempenho da organização contra essas aspirações seja ilustrado usando um mecanismo simples de semáforo. Na medida do possível, explique as aspirações em termos de desempenho dos negócios, não de tecnologia. O desempenho é sustentado por uma série de medidas de segurança que são avaliadas usando um conjunto de critérios objetivos”.

Fonte: Gartner