Não deixe o Cyber para o próximo
Chefe de Bode Expiatório
Chefe de Bode Expiatório
O tiro de partida foi dado. De acordo com a Gartner, 50% dos C-suite terão requisitos de desempenho relacionados com o risco cibernético incorporados nos seus contratos até 2026. O ciberespaço está finalmente a ser visto da perspetiva da gestão do risco organizacional e não como uma questão de TI. Antecipe-se e comece com uma estratégia robusta de avaliação do risco cibernético e evite ter de se esforçar para identificar o seu próximo Chief Scapegoat Officer.
A maioria dos Conselhos de Administração não tem formação em TI. Apenas uma fração dos administradores independentes do S&P 500 tem experiência de liderança em cibersegurança, TI, engenharia de software ou análise de dados. Esse 4% também está confinado a empresas centradas em tecnologia. Consequentemente, a procura de antecedentes em matéria de riscos cibernéticos e de segurança para os membros dos conselhos de administração está a aumentar drasticamente.
O ciberespaço deve ser o primeiro ponto da ordem de trabalhos e ser abordado pelo menos uma vez por trimestre. O ciberespaço é uma preocupação a nível da direção. Pode não conseguir satisfazer totalmente a direção, mas pode garantir que ela não fique insatisfeita no caso de um ataque.
Essencialmente, pretende que o seu público executivo não pense negativamente no seu programa de cibersegurança.
Como é que se pode garantir isso?
O que os CISO podem/devem fazer
Atualmente, existe um desfasamento entre os antecedentes dos membros do conselho de administração e os antecedentes de um CISO, que se estende a um delta na linguagem e na terminologia.
Enquanto CISO, nunca deve ser demasiado técnico com a sua equipa de liderança, uma vez que esta apenas o irá ignorar. Em vez disso, comunique contando histórias e demonstrando como outras empresas de sectores semelhantes se depararam com problemas de cibersegurança e o que fizeram para os resolver com sucesso ou sem sucesso. Outro ponto seria demonstrar a evolução do cenário de ameaças. Destaque o risco reputacional, financeiro, regulamentar e jurídico em causa.
O que se pretende é que a direção mantenha a cultura da cibersegurança no topo da sua agenda. Obtenha uma declaração formal de apoio do topo e o seu controlo sobre o seu âmbito de autoridade aumentará.
Articular uma estratégia de cibersegurança é fundamental para um CISO. Mas também deve caber ao Conselho de Administração definir a cultura de segurança correcta.
Criação de um quadro robusto de riscos cibernéticos
Um quadro de risco cibernético bem sucedido deve abranger os seguintes elementos-chave
Riscos e respostas cibernéticas: Apresentar as principais vulnerabilidades de risco da organização, como ransomware, privacidade de dados, comprometimento de terceiros, comprometimento de correio eletrónico e phishing.
- Como CISO, demonstre o que está a fazer atualmente para mitigar o risco, a probabilidade de ocorrer, o impacto no caso de ocorrer, o que a função está a fazer para o evitar e forneça um cenário de quanto uma violação poderia custar para ser corrigida.
- Identificar os principais riscos cibernéticos e demonstrar as respostas a cada um deles. Reconhecer a existência de riscos e de taxas de resposta. Se a equipa de liderança executiva não estiver satisfeita, esta é uma boa oportunidade para destacar um quadro de risco cibernético robusto com mais recursos ou fornecedores de segurança para demonstrar como o risco pode ser significativamente reduzido ou automatizado, criando assim uma decisão comercial sólida.
Métricas cibernéticas tácticas: Analisar as ameaças, o estado, as tendências e os objectivos.
- Tecnologia - a rapidez com que são feitas as correcções e o que pode ser feito para as aumentar.
- Pessoas - registe as taxas de cliques e de comunicação. Analise os exercícios de phishing dos seus pares da indústria para ver como se compara.
- Processar o risco de terceiros através de testes de penetração. Identificar a percentagem de aplicações críticas que tiveram um desempenho adequado durante a recuperação de desastres e a continuidade das actividades.
- Ambiente - o que está fora da organização e que não pode ser controlado, mas que tem um impacto significativo. Podem ser novas leis cibernéticas, autores de fraudes e agentes maliciosos.
Roteiros
- Identificar programas de alto nível e iniciativas estratégicas. Articular e demonstrar um plano sólido para os próximos anos que possa ser revisto por fases.
- Apresentar um panorama geral para os próximos três anos com base nas prioridades actuais. Isto pode incluir o lançamento de um programa de recompensa por bugs, a atualização de firewalls, ferramentas de proteção de botnets, gestão de vulnerabilidades, cursos personalizados e formação interna.
Avaliação da maturidade cibernética
- Avalie o programa contratando uma empresa de auditoria externa independente para avaliar o seu desempenho no panorama competitivo com os seus pares.
- Atuar com base nos resultados da avaliação independente sobre as principais actividades para melhorar a avaliação das principais prioridades.
- Fornecer um calendário sobre quando serão melhorados ou corrigidos.
Conclusão
O seu objetivo como CISO é manter a equipa de liderança executiva bem informada e responsabilizar os executivos de nível C pelo financiamento e manutenção das suas iniciativas de cibersegurança.
O Conselho de Administração também deve assegurar a integração bem sucedida das medidas de cibersegurança em benefício de todos os accionistas envolvidos.
A solidariedade, a transparência e a confiança são fundamentais em todas as funções para poder responder de forma rápida e decisiva no atual cenário de ameaças em constante evolução.