Conforme a quantidade de ciberataques se torna mais expressiva, conselhos e diretores se preocupam cada vez mais e, consequentemente, cobram cada vez mais os CISOs (Diretores de Segurança da Informação) sobre o status e os reports dos resultados das práticas já implementadas.
Entretanto, é importante ressaltar que estamos falando de perfis muito diferentes: as preocupações de líderes da área de segurança são diferentes daquelas da Diretoria, que precisam supervisionar as áreas de uma perspectiva operacional, financeira e estratégica.
Logo, é preciso ficar atento à forma como isso tudo será feito, para certificar-se de que a comunicação será clara, assertiva e que os reports realmente demonstrem o impacto das práticas de segurança implementadas.
Responda às perguntas certas
A principal forma de fazer isso para os membros da Diretoria é respondendo às perguntas ligadas diretamente aos interesses deles.
Nem sempre é possível enxergar a cibersegurança como uma contribuição direta a alguma das áreas que mencionamos (financeiro, operacional e estratégico). Logo, se faz necessário demonstrar como elas estão, sim, conectadas, e como isso está impactando a organização.
A NACD (National Association of Corporate Directors), uma organização estadunidense sem fins lucrativos que reúne membros de conselhos e membros individuais, publicou o Director’s Handbook on Cyber-risk Oversight, Manual de Supervisão de Riscos Cibernéticos para Diretores.
Nele, a associação traz práticas para a supervisão em cibersegurança e dados relevantes para diretores, o que pode ser usado como uma base nos reports de resultados.
Abaixo, separamos algumas perguntas que você pode responder. Nesse contexto, é muito importante ter métricas que comprovem o que está no report – confira aqui 5 métricas que você precisa analisar.
- Qual é o nível atual de segurança da organização?
É muito interessante demonstrar um comparativo da evolução dos níveis de segurança da empresa – e como isso é medido. Além disso, é interessante mostrar as principais práticas adotadas e qual foi o impacto de cada uma.
- Em que ponto nossa empresa está, em comparação aos concorrentes?
Esse segundo ponto entra como um complemento ao anterior. Outra preocupação da Diretoria é com o posicionamento da organização no mercado, então analisar os concorrentes é sempre muito relevante.
Ao comparar os níveis de segurança entre todos, é interessante mostrar porque a empresa está acima deles ou, caso esteja abaixo, qual é o plano de ação para reverter a situação.
- Qual é o investimento sendo feito e o retorno esperado? Qual é o retorno já obtido?
Pensando na perspectiva financeira, também é necessário apresentar informações sobre os investimentos feitos, o ROI (retorno sobre o investimento) já obtido, e o esperado para o próximo período.
- Como isso impactou a empresa?
Ao evitar os ciberataques, evita-se também perdas financeiras, de reputação e o vazamento de dados. Portanto, apresente à Diretoria: quantos ciberataques foram impedidos x qual perda potencial também foi evitada.
Compartilhe reports de cibersegurança
Além de responder diretamente a essas perguntas periodicamente, compartilhe também os reports de cibersegurança com maior frequência. Assim, a Diretoria também fica atualizada do que está acontecendo no dia a dia da área.
Compartilhe reports de testes, atualizações dos principais KPIs e as vulnerabilidades mitigadas no período.
Aqui na Vantico, por exemplo, nossa plataforma de Pentest as a Service traz atualizações e métricas em tempo real, além de ter uma função que permite gerar e baixar novos reports a qualquer momento.
Ou seja, quando estiver realizando seu pentest, é possível compartilhar todo o andamento do teste com a Diretoria.
Quando a importância da cibersegurança está clara para todos, em especial os principais tomadores de decisão da empresa, os esforços dos líderes e equipes de segurança são mais bem direcionados e vai se criando uma cultura pautada em boas práticas!
Para conhecer o Pentest as a Service da Vantico e manter os diretores por dentro dos testes de segurança, clique aqui e fale com nossos especialistas.