Relação entre CISO e conselho de administração é crucial para obter melhores resultados

Os Conselhos de Administração das empresas têm um papel único a desempenhar na gestão dos riscos cibernéticos. Os membros da Direção não estão envolvidos no desenvolvimento e execução da estratégia diária de cibersegurança, mas são responsáveis pela supervisão e servem como fiduciários.

Embora possa ser difícil para os membros do Conselho de Administração envolverem-se muito nas temáticas cibernéticas, espera-se que estes assegurem que a cibersegurança permaneça na ordem do dia, uma vez que pode afetar os dados dos clientes, as oportunidades comerciais e os preços das ações, entre outros aspetos.

Apesar de o risco cibernético se ter tornado um tópico ao nível da administração há já algum tempo, os intervenientes desta que conduzem a conversa sobre a cibersegurança podem ter pontos de vista desalinhados, o que se traduz em visões empresariais inconsistentes e decisões fracas. Deste modo, a Check Point Software fez uma análise ao tema, aos obstáculos comuns e à forma de abordar e ultrapassar os desafios acima mencionados.

Menos de 50% dos membros do Conselho de Administração interagem regularmente com o CISO. Cerca de um terço dos membros apenas vê os CISO nas apresentações do Conselho de Administração. Por outras palavras, estes líderes muitas vezes não se relacionam com frequência suficiente para promoverem, em colaboração, um crescimento significativo em relação à cibersegurança e às estratégias. Esta falha de comunicação pode impedir o progresso da gestão do risco cibernético como um todo.

Além disso, a conversa de um CISO com o Conselho de Administração gira, por vezes, exclusivamente em torno da proteção contra ataques cibernéticos. A principal pergunta é, por norma, “temos segurança suficiente?”. No entanto, a investigação indica que os CISO deviam mudar o tema da conversa para a resiliência operacional. Em vez de centrar a conversa nos mecanismos de segurança, deve ser colocada a questão “como é que nos podemos tornar mais resilientes?”.

Um CISO pode beneficiar se atuar como um consultor imparcial do risco empresarial, em vez de um especialista técnico que gostaria de, por exemplo, assegurar um orçamento adicional. Criar um ecossistema que enquadre o risco cibernético em termos que a Direção possa compreender tornará as mensagens mais relevantes, ressonantes e impactantes.

Ao demonstrar o valor da cibersegurança, os CISO devem utilizar uma linguagem e métricas que mostrem que a segurança é um fator de receita. Por exemplo, os CISO podem demonstrar o ROI da remoção de uma ameaça ou vulnerabilidade. Ou podem mostrar o que a organização ganharia em receitas perdidas com a implementação de um controlo de segurança específico.

Ao falar com os membros da Direção, os CISO devem ter o cuidado de evitar utilizar o medo, a incerteza e a dúvida para transmitir mensagens ou obter aprovação. A utilização de táticas alarmistas pode dar aos membros da Direção a impressão de que os custos de segurança são excessivamente elevados.

Para atingir objetivos e encontrar aliados, os membros do conselho de administração e os CISO, ou outros intervenientes técnicos relevantes, devem investir em ligações fora da sala de reuniões. Isto cria confiança, um elemento invisível dentro do negócio que permite que uma organização prospere.

Além disso, o envolvimento para além das quatro paredes da sala de reuniões fornece a todos os intervenientes conhecimentos e contexto que podem informar a comunicação, as metas e o progresso em relação aos objetivos.