Apresentando reports de Cibersegurança para a Diretoria da empresa

Picture of vantico

vantico

Reports cibersec

Conforme a quantidade de ciberataques se torna mais expressiva, conselhos e diretores se preocupam cada vez mais e, consequentemente, cobram cada vez mais os CISOs (Diretores de Segurança da Informação) sobre o status e os reports dos resultados das práticas já implementadas. 

Entretanto, é importante ressaltar que estamos falando de perfis muito diferentes: as preocupações de líderes da área de segurança são diferentes daquelas da Diretoria, que precisam supervisionar as áreas de uma perspectiva operacional, financeira e estratégica.  

Logo, é preciso ficar atento à forma como isso tudo será feito, para certificar-se de que a comunicação será clara, assertiva e que os reports realmente demonstrem o impacto das práticas de segurança implementadas. 

Como apresentar Reports para a diretoria

Responda às perguntas certas 

A principal forma de fazer isso para os membros da Diretoria é respondendo às perguntas ligadas diretamente aos interesses deles. 

Nem sempre é possível enxergar a cibersegurança como uma contribuição direta a alguma das áreas que mencionamos (financeiro, operacional e estratégico). Logo, se faz necessário demonstrar como elas estão, sim, conectadas, e como isso está impactando a organização. 

A NACD (National Association of Corporate Directors), uma organização estadunidense sem fins lucrativos que reúne membros de conselhos e membros individuais, publicou o Director’s Handbook on Cyber-risk Oversight, Manual de Supervisão de Riscos Cibernéticos para Diretores. 

Nele, a associação traz práticas para a supervisão em cibersegurança e dados relevantes para diretores, o que pode ser usado como uma base nos reports de resultados. 

Abaixo, separamos algumas perguntas que você pode responder. Nesse contexto, é muito importante ter métricas que comprovem o que está no report – confira aqui 5 métricas que você precisa analisar. 

  1. Qual é o nível atual de segurança da organização?

É muito interessante demonstrar um comparativo da evolução dos níveis de segurança da empresa – e como isso é medido. Além disso, é interessante mostrar as principais práticas adotadas e qual foi o impacto de cada uma. 

  1. Em que ponto nossa empresa está, em comparação aos concorrentes?

Esse segundo ponto entra como um complemento ao anterior. Outra preocupação da Diretoria é com o posicionamento da organização no mercado, então analisar os concorrentes é sempre muito relevante. 

Ao comparar os níveis de segurança entre todos, é interessante mostrar porque a empresa está acima deles ou, caso esteja abaixo, qual é o plano de ação para reverter a situação. 

  1. Qual é o investimento sendo feito e o retorno esperado? Qual é o retorno já obtido?

Pensando na perspectiva financeira, também é necessário apresentar informações sobre os investimentos feitos, o ROI (retorno sobre o investimento) já obtido, e o esperado para o próximo período. 

  1. Como isso impactou a empresa?

Ao evitar os ciberataques, evita-se também perdas financeiras, de reputação e o vazamento de dados. Portanto, apresente à Diretoria: quantos ciberataques foram impedidos x qual perda potencial também foi evitada. 

Compartilhe reports de cibersegurança 

Além de responder diretamente a essas perguntas periodicamente, compartilhe também os reports de cibersegurança com maior frequência. Assim, a Diretoria também fica atualizada do que está acontecendo no dia a dia da área. 

Compartilhe reports de testes, atualizações dos principais KPIs e as vulnerabilidades mitigadas no período. 

Aqui na Vantico, por exemplo, nossa plataforma de Pentest as a Service traz atualizações e métricas em tempo real, além de ter uma função que permite gerar e baixar novos reports a qualquer momento. 

Ou seja, quando estiver realizando seu pentest, é possível compartilhar todo o andamento do teste com a Diretoria. 

 

Quando a importância da cibersegurança está clara para todos, em especial os principais tomadores de decisão da empresa, os esforços dos líderes e equipes de segurança são mais bem direcionados e vai se criando uma cultura pautada em boas práticas! 

 

Para conhecer o Pentest as a Service da Vantico e manter os diretores por dentro dos testes de segurança, clique aqui e fale com nossos especialistas. 

 

 

veja também

Outros conteúdos sobre Segurança Cibernética