A segurança cibernética tem lutado por um lugar na mesa da diretoria há anos e, pela maioria das medidas, conseguiu. Hoje, os CISOs são participantes regulares, apresentando atualizações sobre risco, resiliência e preparação.
Mas muitas autoridades de segurança estão a descobrir que o acesso foi apenas a primeira fase. Apenas estar na sala já é compreensão.
O artigo continua abaixo
Já faz algum tempo que estamos resolvendo esse problema e os conselhos estão muito mais cibernéticos do que costumavam ser. Mas muitos CISOs ainda esperam que o conselho cumpra os requisitos de segurança. Não funciona assim.
Os CISOs devem seguir as prioridades do conselho e não esperar que o conselho siga as deles.
Por que os relatórios técnicos limitam a influência do CISO
A segurança tornou-se muito confortável em se apresentar como a autoridade de risco da organização. Estruturas, auditorias e padrões fornecem estrutura e garantia, especialmente para equipes de segurança. Eles são importantes, mas não convencem por si só.
A segurança tem uma compreensão profunda do risco. Pode explicar a probabilidade, a facilidade de exploração e a exposição residual com uma precisão incrível, muitas vezes validada por terceiros. Os comitês, entretanto, não tomam decisões com esse nível de detalhe. Para eles, é apenas um elemento do risco cibernético, sendo o risco em si apenas uma preocupação entre muitas, geralmente por detrás do crescimento das receitas e do controlo de custos.
Isso cria uma discrepância. É provável que os CISOs conduzam conversas em mesas redondas sobre um dos itens da agenda que seja menos atraente para todos os outros presentes. O risco é importante, mas raramente mantém os executivos acordados à noite, a menos que haja uma verdadeira crise de segurança acontecendo naquele momento.
No entanto, muitos agentes de segurança ainda chegam armados com registos de perigo e painéis de semáforos que se parecem com os de dez anos atrás. O problema não é que essas ferramentas estejam erradas. É que eles estão incompletos para a tarefa em questão.
Como transformar o risco cibernético em lucros e perdas
A mudança que os CISOs precisam fazer não é abandonar o pensamento sobre o risco, mas sim mudar a forma como ele é utilizado. O risco deve ser visto como uma ferramenta e não como um título. Os comitês não precisam entender os modelos de ameaças ou contagens de vulnerabilidades, o que um problema de segurança significa para os negócios que administram.
As equipes de segurança geralmente analisam os riscos com maior precisão do que outras organizações. Eles avaliam detalhadamente os ativos, a probabilidade e o impacto, enquanto outras funções ainda operam com julgamentos e aproximações amplos. Essa profundidade é valiosa, mas é também onde a conversa muitas vezes perde seu público.
As outras questões com as quais os conselhos realmente se preocupam são simples: “Como um incidente afetaria nossa capacidade de fazer negócios? Que receita estará em jogo se os sistemas falharem? E quanta perda esse investimento evita em tempo de inatividade, recuperação de dados ou perda de clientes?”
Quando as conversas sobre segurança respondem diretamente a essas perguntas, a dinâmica muda. Os CISOs ainda podem falar sobre risco, mas param de lutar acenando com modelos de risco residual e pontuações vagas de semáforos.
Isto é especialmente importante quando um recente incidente cibernético no setor empresarial aumentou o foco na sala de reuniões. Quando uma contraparte ou rival está nas manchetes após uma violação grave, todos olham para o CISO: “Seremos os próximos? Como você sabe?”
Nenhum chefe de segurança pode responder a essa pergunta com certeza absoluta. Mas se conseguirem explicar com segurança quais os factores de risco que estão em jogo, como são tratados e o que isso significa para os custos e receitas operacionais, poderão projectar confiança e ganhar confiança.
Adotar uma mentalidade preventiva é especialmente importante. Os CISOs que não apenas comunicam claramente o risco, mas também explicam por que já o estão abordando, passarão das despesas gerais caras para a solução de problemas de negócios.
Passando da teoria cibernética para a prática
Os quadros brancos não aprendem mostrando mais slides. Eles aprendem por meio de discussão, desafio e debate. E em muitos casos, realmente fazendo alguma coisa.
Uma das formas mais eficazes de transformar o risco cibernético em realidade empresarial é através de exercícios práticos. Feitos corretamente, eles levam as conversas sobre segurança do abstrato para cenários que os executivos reconhecem imediatamente. Em vez de discutir ameaças hipotéticas, os exercícios de mesa colocam uma questão prática: o que realmente acontece ao negócio quando algo corre mal?
Os exercícios de mesa criam esse ambiente. Eles revelam dependências ocultas, expõem gargalos na tomada de decisões e revelam responsabilidades pouco claras sob pressão.
Mais importante ainda, mostram como os erros técnicos se traduzem em resultados comerciais reais: perda de receitas, interrupções nas operações e aumento de custos. Isso ajuda a estabelecer a linguagem compartilhada essencial entre segurança e negócios, alinhando todos em torno do impacto e não da abstração.
Maturidade administrativa como teste de credibilidade do CISO
À medida que as expectativas do conselho aumentam, os exercícios de mesa estão a tornar-se um teste de credibilidade para os CISOs. Já não é suficiente dizer que existem planos ou que existem controlos. Os conselhos querem cada vez mais provas de que a organização pode funcionar quando estes controlos falham.
Programas de desktop bem gerenciados demonstram isso. Eles mostram que o CISO entende como as decisões de segurança se cruzam com a realidade dos negócios e pode reunir os líderes para testar hipóteses de estresse. É aqui que a liderança em segurança passa da compostura à prova.
Os exercícios mais eficazes também forçam uma mudança necessária nas prioridades. O objetivo raramente é proteger tudo a todo custo. Em muitos casos, é muito mais fácil: manter o negócio funcionando. Quer isso signifique manter serviços voltados para o cliente ou garantir que os pagamentos ainda possam ser processados, o foco está na preservação das receitas, limitando os custos incrementais.
Os CISOs que conseguem realizar estes exercícios regularmente e traduzir os resultados em decisões estratégicas posicionam-se como consultores de confiança. Aqueles que não correm o risco de serem vistos como especialistas técnicos e não como empresários.
Hora de nos encontrarmos no meio da mesa
O papel do CISO está mudando. Os comités não estão à espera de dominar o panorama da segurança, e o risco cibernético nunca chegará sozinho ao topo da agenda.
A segurança será avaliada com base no suporte ao crescimento, no controle de custos e na manutenção da organização em funcionamento. Os líderes de segurança devem pensar na cibersegurança em termos de resiliência, passando da defesa reativa para a resposta preventiva.
Para os CISOs, isso significa adaptar a forma como conduzem a conversa. Não se trata de remover a segurança, mas de reunir executivos que já estão trabalhando. A montaria não se moverá, não importa quantas estatísticas estejam na apresentação de slides.
Os CISOs que decidirem fazer a mudança moldarão as decisões, garantirão investimentos e ganharão um lugar como consultores de confiança. Aqueles que não o fizerem ainda poderão ter um lugar à mesa, mas terão muito menos influência sobre o que acontecerá a seguir.
Confira nossa lista das melhores plataformas de business intelligence.
