Transformar a segurança cibernética nos conselhos administrativos
Seis coisas que o CA quer que você saiba
As conversas sobre segurança cibernética com os conselhos de administração evoluíram. As equipes de segurança deixaram de ser vistas apenas como especialistas em tecnologia, agora elas são responsáveis por criar a arquitetura de resiliência das empresas contra ameaças cibernéticas. Esta mudança está sendo impulsionada pelo aumento dos ataques cibernéticos, da geopolítica e da transformação digital.
Os conselhos agora querem insights estratégicos dos líderes de segurança. Eles não querem apenas nos ouvir relatar que instalamos o firewall mais recente ou que estamos em conformidade com os regulamentos. Eles procuram compreender como as táticas cibernéticas contribuem para a estratégia de negócios e o valor para os acionistas. O diálogo é fundamental. Os conselhos querem que as equipes de segurança unam o jargão cibernético à visão de negócios.
Então, o que seu conselho quer que você saiba? Quais são as suas prioridades? O que eles querem da sua equipe? Neste artigo, exploraremos as prioridades de segurança cibernética dos conselhos e como os líderes de segurança podem comunicar-se de forma eficaz com eles.
1. O risco cibernético é risco comercial, ponto.
No passado, os conselhos viam a segurança cibernética como domínio das equipes de tecnologia em salas de servidores distantes. Os riscos cibernéticos pareciam abstratos e intangíveis. Agora, isso acabou. Basta olhar para as repercussões de mega violações como da Equifax e da Colonial Pipeline. Estes ataques paralisaram as empresas na sua essência, infligindo impactos comerciais desproporcionais que redefiniram o risco cibernético como um perigo claro e presente.
As novas regras de divulgação de riscos de segurança da SEC duplicam esta ameaça. Ao exigir relatórios públicos rápidos sobre incidentes cibernéticos importantes e a divulgação anual de programas cibernéticos, a SEC destaca o risco cibernético em primeiro plano. “Quer uma empresa perca uma fábrica em um incêndio, ou milhões de arquivos em um incidente, isso pode ser relevante para os investidores”, disse o presidente da SEC, Gary Gensler. Agora, o conselho deve estar intimamente envolvido na avaliação de incidentes cibernéticos, no planejamento de divulgações e na validação de programas de segurança.
Embora o conselho compreenda a gravidade dos riscos cibernéticos, muitas vezes falta a fluência na linguagem esotérica das ameaças, vetores e controles. Esta lacuna representa um desafio de comunicação estratégica. Os conselhos precisam de insights claros que liguem o risco cibernético aos resultados da empresa e exigem planos claros para controlar esses riscos.
Como líderes de segurança, devemos eliminar a divisão atuando como tradutores, instruindo os conselhos de administração em linguagem empresarial simples, não em jargão técnico. Devemos contextualizar as ameaças dentro das prioridades da empresa, como a confiança do cliente, a resiliência dos serviços e a posição no mercado.
As novas regras da SEC confirmam que o risco cibernético está permanentemente ligado ao risco empresarial. Os nossos relatórios devem refletir esta nova realidade. Com os conselhos de administração em alerta máximo, nosso mandato deve ser iluminar o caminho a seguir.
2. ROI em segurança cibernética: não se trata apenas de dólares, mas de bom senso
Ah! O enigma de comprovar o retorno do investimento (ROI) em segurança cibernética. O conselho está mais envolvido do que nunca nos investimentos em segurança, mas não espera um ROI dólar por dólar. Em vez disso, querem saber como os investimentos em segurança se correlacionam com uma arquitetura empresarial mais segura e robusta.
Aqui está um exercício interessante: ao se preparar para a próxima reunião do conselho, não transmita apenas números, narre o impacto, conte uma história. Não um conto de fadas, um exemplo real de como as ações rápidas da sua equipe evitaram um desastre cibernético. Você substituiu sua VPN pelo acesso à rede Zero Trust e implantou um sistema XDR novinho em folha? Ótimo! Como isso afetou sua capacidade de proteger os usuários e reduzir o tempo de resposta a incidentes? Você também deve fornecer números, mas certifique-se de que esses números contem uma história.
É claro que nem todo sucesso é facilmente quantificável. Mas mesmo para benefícios intangíveis, como o aumento da reputação, podemos usar métricas para estimar o valor. A chave é vincular programas e gastos à mitigação de riscos que corresponda à integridade e ao desempenho corporativo.
Este enquadramento transfere a segurança cibernética de um centro de custos para uma função estratégica que cria resiliência empresarial. Investimentos sensatos demonstram como a segurança funciona como um escudo competitivo, permitindo riscos inteligentes que geram crescimento. Esse panorama geral é o verdadeiro ROI no qual os conselhos estão interessados.
3. O rosto de Janus da IA: uma maravilha e um campo minado
Se estivermos atravessando o terreno nebuloso da segurança cibernética moderna, o elefante na sala é a inteligência artificial. Quando integramos a IA generativa na estrutura de nossas estratégias de segurança cibernética, o conselho se reúne, toma notas e, sim, levanta as sobrancelhas.
Por que eles estão um pouco nervosos em relação à IA? Vejamos os chatbots de IA, por exemplo. Fenomenais para a automação do atendimento ao cliente, mas o que acontece quando eles se tornam canais para desinformação ou vazamento de dados? O conselho quer garantias de que a governança adequada, a explicabilidade e as proteções contra falhas estão em vigor à medida que a IA é adotada.
Os labirintos éticos em torno do reconhecimento facial, dos direitos autorais da IA e de uma caixa de Pandora de deepfakes não são apenas temas distópicos para uma série de streaming. Eles são reais e estão acontecendo agora. E para complicar ainda mais, nossos conselhos não são apenas observadores passivos.São alvos em potencial de ameaças cibernéticas impulsionadas pela IA. Então, como exatamente os protegemos para que não se tornem outro vetor de ataque? Os conselhos administrativos não estão apenas “discutindo” a IA. Eles estão questionando e investigando, e as equipes de segurança cibernética estão no centro das atenções para fornecer algumas respostas muito necessárias.
4. Segurança é uma cultura, não um departamento
Nos conselhos administrativos, a narrativa em torno da segurança está mudando.Cada vez mais, o conselho vê isso como uma cultura e não como um departamento.É o mantra “A segurança é responsabilidade de todos”, mas elevado a um nível estratégico.
Embora historicamente o erro humano tenha sido o calcanhar de Aquiles da segurança, inverter o roteiro pode transformar o elemento humano em um trunfo. O treinamento de funcionários pode ser mais do que apenas uma caixa de seleção de conformidade; pode ser uma arma estratégica.
Imagine o seguinte: um funcionário bem treinado impede uma tentativa de phishing que poderia custar milhões. Essa é uma narrativa que todos gostariam de ouvir, certo? O elemento humano não é um defeito – é um recurso. Não vamos continuar culpando os usuários quando eles clicam acidentalmente em um link malicioso. Em vez disso, vamos conscientizar os funcionários e fazer com que se envolvam na segurança cibernética, criando uma cultura sem culpa dentro da empresa. Proporcione aos usuários proteções cibernéticas que lhes permitam trabalhar com segurança e estar mais dispostos a relatar coisas que considerem suspeitas. E não se esqueça de incluir o conselho na sua cultura de segurança. Idealmente, a cultura de segurança deve partir do conselho administrativo e surgir nas ações cotidianas.
5. O tabuleiro de xadrez é global: por que os riscos geopolíticos são os seus riscos
Pensa na violação da SolarWinds. Ela foi classificada como um evento de segurança cibernética, mas não foi essencialmente um capítulo de uma saga geopolítica em expansão? Seu conselho está perfeitamente ciente de que o campo de atuação da segurança cibernética se estende muito além das paredes de sua organização. Agora, isso é uma parte complexa do cenário global.
A dinâmica geopolítica confirmou oficialmente presença na conversa sobre segurança cibernética e trouxe alguns pontos positivos complexos: ameaças de estado-nação, hacktivistas, soberania de dados, privacidade e questões de conformidade internacional. Lembre-se de que passamos da fase de considerar esses tópicos como problemas de outra pessoa, agora eles também são seus. E isso é especialmente evidente se você trabalha em um setor considerado de “infraestrutura crítica”.
O que isso diz sobre a amplitude de suas responsabilidades? Diz que você está na mesma sintonia do conselho. Na sua próxima reunião de nível executivo, apresente algumas informações sobre como as mudanças nos cenários geopolíticas podem afetar sua estratégia de segurança cibernética. Eles vão prestar atenção.
6. Sua equipe é uma unidade de negócios e não um centro de custos
Tradicionalmente vista como um centro de custos, a segurança cibernética evoluiu para uma unidade de negócios que contribui para a tomada de decisões estratégicas.Esta mudança de percepção é a mudança de paradigma mais significativa para as equipes de segurança nos últimos anos. Seu conselho sabe disso e quer que você reconheça isso também.
Então, o que isso significa em termos do seu diálogo com eles? Não se trata apenas de apresentar as estatísticas mais recentes de detecção de intrusões ou a eficácia do firewall. Em vez disso, apresente a eles um cenário em que a segurança cibernética é a quilha que estabiliza o navio corporativo, permitindo que ele enfrente ventos mais fortes e mares mais agitados, ou seja, oportunidades de mercado e inovações nos negócios, sem naufragar.
O que impede você de se tornar aquele guru estratégico que interliga perfeitamente as considerações de segurança ao próprio DNA do seu modelo de negócios? Nada, exceto talvez velhos hábitos e percepções ultrapassadas. Pense nisso como uma convocação. A próxima reunião do conselho não deve ser apenas uma atualização; deve ser uma revelação. Está tudo preparado para que você deixe de ser o guardião e seja o guia, de ser porteiro e seja o desbravador.Prepare-se para uma mudança de direção.
Uma nova era de diálogo no conselho administrativo
Estamos prontos para isso? Estamos dispostos a passar do “Departamento do NÃO” para o catalisador que ajuda a empresa a proclamar um “Sim” estratégico?
Citando William Gibson: “O futuro já está aqui, só não está distribuído uniformemente”. É hora de ampliarmos nossa sabedoria em segurança cibernética dentro da organização, começando pelo conselho. Portanto, da próxima vez que você ouvir as palavras “conselho administrativo”, não pense nelas como um esporte de espectadores, considere-as um convite para ser um jogador estratégico na definição do futuro da empresa.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Autoria
John Engates — @jengates
Diretor de tecnologia, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
A mudança de paradigma de segurança como departamento para uma cultura que abrange toda a empresa
Como elevar o nível da conversa sobre segurança no conselho administrativo
A importância de gerar impacto além dos números