O DESAFIO DO CISO: COMO CONVENCER OS CONSELHOS DE ADMINISTRAÇÃO A INVESTIR EM SEGURANÇA CIBERNÉTICA

Este artigo tem o objetivo de ajudar os CISOs a convencerem os conselhos de administração a investirem em segurança cibernética. Com o aumento dos riscos e custos das violações, é importante que todos estejam cientes da importância da segurança cibernética. Aqui estão algumas perguntas e respostas que podem ajudar a entender melhor o conteúdo deste artigo:

Quais são os principais desafios enfrentados pelos CISOs na hora de convencer os conselhos de administração a investirem em segurança cibernética?

R: Os principais desafios enfrentados pelos CISOs ao tentar convencer os conselhos de administração a investirem em segurança cibernética incluem:

1. Falta de experiência do board em segurança cibernética: Menos de 2% dos membros do conselho têm experiência relevante e recente em segurança cibernética, o que pode dificultar a compreensão e a avaliação adequada dos riscos e necessidades de investimento em segurança.

2. Visões ambivalentes sobre o papel do conselho em relação à segurança: Muitos membros do conselho podem não se sentir confiantes em supervisionar a TI e a segurança, o que pode levar a visões ambivalentes sobre o papel do conselho em relação à segurança.

3. Percepção da segurança como um centro de custos: A segurança cibernética pode ser vista simplesmente como um centro de custos necessário, em vez de um facilitador de negócios. Isso pode dificultar a justificação de investimentos em segurança.

4. Necessidade de alinhar as iniciativas de segurança com as necessidades de negócios: Mostrar como as iniciativas de segurança se alinham com as necessidades de negócios e as prioridades de longo prazo pode ser um desafio, especialmente ao concentrar-se no retorno sobre o investimento (ROI).

5. Comunicação eficaz: A comunicação com os membros do conselho, especialmente aqueles com experiência em tecnologia ou segurança, pode ser crucial para obter suporte e compreensão.

Esses desafios destacam a necessidade de os CISOs desenvolverem uma argumentação forte e focada no ROI, além de pensarem e falarem como membros do conselho para obter a adesão aos investimentos em segurança.

Como os CISOs podem elaborar uma argumentação forte para apresentar aos conselhos de administração?

Os CISOs podem elaborar uma argumentação forte para apresentar aos conselhos de administração seguindo algumas diretrizes importantes:

1. Contextualização estratégica: Mostrar como as iniciativas de segurança se alinham com as necessidades de negócios e as prioridades de longo prazo da organização. Isso inclui concentrar-se no retorno sobre o investimento (ROI) e demonstrar como os investimentos certos em segurança cibernética possibilitam e protegem os objetivos estratégicos da empresa.

2. Foco no panorama geral do gerenciamento de riscos e da reputação das empresas: Em vez de falar apenas sobre tecnologia, os CISOs devem criar um consenso sobre o estado atual da organização em termos de ativos mais importantes, riscos mais ameaçadores, prioridades mais urgentes e objetivos a serem alcançados. Isso ajuda a fundamentar a discussão e a criar a perspectiva certa, destacando que a segurança cibernética consiste em assumir os riscos certos, não escolher a tecnologia certa.

3. Abordagem centrada no ROI: Mostrar como a segurança pode impulsionar a receita, por exemplo, quantificando o valor dos contratos e dos clientes em relação aos gastos com controles. Focar nas oportunidades, não nos custos, e desmistificar as desvantagens para os membros do conselho.

4. Comunicação eficaz: Conversar com colegas da diretoria executiva para obter comentários e suporte, manter as linhas de comunicação abertas com os membros do conselho e criar conexões com aqueles que têm experiência em tecnologia ou segurança. Isso pode ajudar a obter insights, fortalecer argumentos e ajustar melhor as apresentações.

Ao seguir essas diretrizes, os CISOs podem desenvolver uma argumentação forte e focada no ROI, mostrando como os investimentos em segurança cibernética estão alinhados com as necessidades e prioridades estratégicas da organização, e como podem impulsionar a receita e proteger os ativos da empresa.

Qual é o papel dos conselhos de administração na definição de prioridades para a segurança cibernética da organização?

O papel dos conselhos de administração na definição de prioridades para a segurança cibernética da organização é crucial, pois eles têm o poder de estabelecer diretrizes e prioridades que podem colocar a organização em uma base sólida de segurança. Alguns aspectos importantes do papel dos conselhos de administração incluem:

1. Definição de prioridades estratégicas: Os conselhos de administração podem definir as prioridades estratégicas da organização, incluindo a segurança cibernética como um componente essencial para proteger os ativos e a reputação da empresa.

2. Alinhamento com objetivos de longo prazo: Ao estabelecer prioridades, os conselhos de administração podem garantir que a segurança cibernética esteja alinhada com os objetivos de longo prazo da organização, como expansão global, novas plataformas de clientes ou transformação digital.

3. Supervisão e orientação: Os conselhos de administração podem supervisionar e orientar as estratégias de segurança cibernética, garantindo que os investimentos e as iniciativas estejam alinhados com as necessidades e prioridades da organização.

Portanto, os conselhos de administração desempenham um papel fundamental na definição de prioridades para a segurança cibernética, garantindo que a organização esteja adequadamente protegida contra ameaças cibernéticas e que a segurança seja considerada como parte integrante das estratégias de negócios de longo prazo.

Autor: Almir Meira Alves, MSc, MBA

Diretor Acadêmico na CECyber - Center of Excellence in Cybersecurity, Cyber Range Specialist | Professor PECE POLI USP | Professor FDTE POLI USP | Cybersecurity Specialist | GRC | CISO