
Texto traduzido e adaptado de “5 Security Questions Your Board Will Inevitably Ask“, escrito por Kasey Panetta.
É provável que a maioria dos líderes de segurança e risco tenham ouvido perguntas que questionam a necessidade de investir em segurança de seus conselhos de administração.
“À medida que os membros do conselho percebem o quão crítico é a segurança e o gerenciamento de riscos, eles estão fazendo aos líderes perguntas mais complexas e diferenciadas”, disse Olyaei. A maioria das perguntas do conselho podem ser categorizada em cinco áreas.
A questão do incidente
Como é: Como isso aconteceu? Eu pensei que você tinha isso sob controle? O que deu errado?
Essas perguntas são feitas quando um incidente ou evento ocorre e o conselho já sabe ou o CISO está informando sobre isso. Eles podem fazer essas perguntas específicas para garantir a organização, enquanto grande parte dos funcionários trabalha em casa em condições incomuns.
Como responder: Reconheça o incidente, forneça detalhes sobre o impacto nos negócios, descreva pontos fracos ou lacunas que precisam ser resolvidos e forneça um plano de mitigação.
A questão do trade-off
Como é: somos 100% seguros? Você tem certeza?
Por que é solicitado: perguntas como essa são frequentemente feitas por membros do conselho que não entendem verdadeiramente a segurança e o impacto nos negócios.
Como responder: Comece com algo como: “Meu papel é implementar controles para gerenciar o risco. À medida que nossos negócios crescem, precisamos reavaliar continuamente quanto risco é apropriado. Por tanto, é impossível eliminar todas as fontes de risco.“
A questão da paisagem
como é: quão ruim é por aí? E o que aconteceu na empresa X? Como somos comparados aos outros?
Por que é perguntado: Eles querem saber como é o clima e como eles se comparam aos outros.
Como responder: Considere discutir uma série de respostas de segurança mais amplas, como identificar uma fraqueza semelhante e como ela está sendo corrigida ou atualizar planos de continuidade de negócios.
A questão do risco
Como é: sabemos quais são nossos riscos? O que te mantém acordado à noite?
Por que é perguntado: Eles querem saber que riscos da empresa estão sendo tratados para defender as decisões de gerenciamento de riscos.
Como responder: explique o impacto comercial das decisões de gerenciamento de riscos e garanta que suas posições sejam apoiadas por evidências. A falta de controle não é um risco, nem a próxima grande ameaça. Concentre-se nos itens mais importantes que você controla (perda de IP? Regulamento? Risco de terceiros?).
A questão do desempenho
Como é: Estamos alocando recursos adequadamente? Estamos gastando o suficiente? Por que estamos gastando tanto?
Por que é perguntado: Os membros do conselho desejam saber sobre métricas e ROI.
Como responder: use uma abordagem de balanced scorecard na qual a camada superior exprima as aspirações de negócios e o desempenho da organização contra essas aspirações seja ilustrado usando um mecanismo simples de semáforo.
Muitas perguntas serão feitas e, é necessário estar preparado para trazer respostas conclusivas e com base em dados reais a seus gestores. Para isso a Clavis – Segurança da Informação oferece ferramentas capazes gerenciar as vulnerabilidades, atuando em sua identificação, na caracterização dos riscos reais ao negócio, no planejamento de correções e no acompanhamento da execução, com o Sistema BART (Baselines, Análise de Riscos, Testes de Segurança). Além do Octopus SIEM, que também atua na realização de integração de dados relevantes à segurança, a correlação de eventos para a identificação de incidentes de segurança, e a retenção de dados por questões de conformidade ou com vistas a potenciais ações de análise ou investigação forense.