VOLTAR
Artigo
Don’t Leave Cyber for your Next Chief Scapegoat Officer

Não deixe o Cyber para o próximo
Chefe de Bode Expiatório

Identificar a melhor estratégia de resposta ao risco cibernético para a sua empresa

Por Vanya I. Mackay
DESCARREGAR RELATÓRIO
Mouse Scroll Icon
setembro 2022

O tiro de partida foi dado. De acordo com a Gartner, 50% dos C-suite terão requisitos de desempenho relacionados com o risco cibernético incorporados nos seus contratos até 2026. O ciberespaço está finalmente a ser visto da perspetiva da gestão do risco organizacional e não como uma questão de TI. Antecipe-se e comece com uma estratégia robusta de avaliação do risco cibernético e evite ter de se esforçar para identificar o seu próximo Chief Scapegoat Officer.

A maioria dos Conselhos de Administração não tem formação em TI. Apenas uma fração dos administradores independentes do S&P 500 tem experiência de liderança em cibersegurança, TI, engenharia de software ou análise de dados. Esse 4% também está confinado a empresas centradas em tecnologia. Consequentemente, a procura de antecedentes em matéria de riscos cibernéticos e de segurança para os membros dos conselhos de administração está a aumentar drasticamente.

O ciberespaço deve ser o primeiro ponto da ordem de trabalhos e ser abordado pelo menos uma vez por trimestre. O ciberespaço é uma preocupação a nível da direção. Pode não conseguir satisfazer totalmente a direção, mas pode garantir que ela não fique insatisfeita no caso de um ataque.

Essencialmente, pretende que o seu público executivo não pense negativamente no seu programa de cibersegurança.

Como é que se pode garantir isso?

O que os CISO podem/devem fazer

Atualmente, existe um desfasamento entre os antecedentes dos membros do conselho de administração e os antecedentes de um CISO, que se estende a um delta na linguagem e na terminologia.

Enquanto CISO, nunca deve ser demasiado técnico com a sua equipa de liderança, uma vez que esta apenas o irá ignorar. Em vez disso, comunique contando histórias e demonstrando como outras empresas de sectores semelhantes se depararam com problemas de cibersegurança e o que fizeram para os resolver com sucesso ou sem sucesso. Outro ponto seria demonstrar a evolução do cenário de ameaças. Destaque o risco reputacional, financeiro, regulamentar e jurídico em causa.

O que se pretende é que a direção mantenha a cultura da cibersegurança no topo da sua agenda. Obtenha uma declaração formal de apoio do topo e o seu controlo sobre o seu âmbito de autoridade aumentará.

Articular uma estratégia de cibersegurança é fundamental para um CISO. Mas também deve caber ao Conselho de Administração definir a cultura de segurança correcta.

Criação de um quadro robusto de riscos cibernéticos
Um quadro de risco cibernético bem sucedido deve abranger os seguintes elementos-chave

Riscos e respostas cibernéticas: Apresentar as principais vulnerabilidades de risco da organização, como ransomware, privacidade de dados, comprometimento de terceiros, comprometimento de correio eletrónico e phishing.

  • Como CISO, demonstre o que está a fazer atualmente para mitigar o risco, a probabilidade de ocorrer, o impacto no caso de ocorrer, o que a função está a fazer para o evitar e forneça um cenário de quanto uma violação poderia custar para ser corrigida.
  • Identificar os principais riscos cibernéticos e demonstrar as respostas a cada um deles. Reconhecer a existência de riscos e de taxas de resposta. Se a equipa de liderança executiva não estiver satisfeita, esta é uma boa oportunidade para destacar um quadro de risco cibernético robusto com mais recursos ou fornecedores de segurança para demonstrar como o risco pode ser significativamente reduzido ou automatizado, criando assim uma decisão comercial sólida.

Métricas cibernéticas tácticas: Analisar as ameaças, o estado, as tendências e os objectivos.

  • Tecnologia - a rapidez com que são feitas as correcções e o que pode ser feito para as aumentar.
  • Pessoas - registe as taxas de cliques e de comunicação. Analise os exercícios de phishing dos seus pares da indústria para ver como se compara.
  • Processar o risco de terceiros através de testes de penetração. Identificar a percentagem de aplicações críticas que tiveram um desempenho adequado durante a recuperação de desastres e a continuidade das actividades.
  • Ambiente - o que está fora da organização e que não pode ser controlado, mas que tem um impacto significativo. Podem ser novas leis cibernéticas, autores de fraudes e agentes maliciosos.

Roteiros

  • Identificar programas de alto nível e iniciativas estratégicas. Articular e demonstrar um plano sólido para os próximos anos que possa ser revisto por fases.
  • Apresentar um panorama geral para os próximos três anos com base nas prioridades actuais. Isto pode incluir o lançamento de um programa de recompensa por bugs, a atualização de firewalls, ferramentas de proteção de botnets, gestão de vulnerabilidades, cursos personalizados e formação interna.

Avaliação da maturidade cibernética

Medir de forma independente a eficácia de todo o programa cibernético.
  • Avalie o programa contratando uma empresa de auditoria externa independente para avaliar o seu desempenho no panorama competitivo com os seus pares.
  • Atuar com base nos resultados da avaliação independente sobre as principais actividades para melhorar a avaliação das principais prioridades.
  • Fornecer um calendário sobre quando serão melhorados ou corrigidos.

Conclusão

O seu objetivo como CISO é manter a equipa de liderança executiva bem informada e responsabilizar os executivos de nível C pelo financiamento e manutenção das suas iniciativas de cibersegurança.

O Conselho de Administração também deve assegurar a integração bem sucedida das medidas de cibersegurança em benefício de todos os accionistas envolvidos.

A solidariedade, a transparência e a confiança são fundamentais em todas as funções para poder responder de forma rápida e decisiva no atual cenário de ameaças em constante evolução.

DESCARREGAR RELATÓRIO

PT
PT EN ES