Texto traduzido e adaptado de “5 Security Questions Your Board Will Inevitably Ask“, escrito por Kasey Panetta.

É provável que a maioria dos líderes de segurança e risco tenham ouvido perguntas que questionam a necessidade de investir em segurança de seus conselhos de administração.

“À medida que os membros do conselho percebem o quão crítico é a segurança e o gerenciamento de riscos, eles estão fazendo aos líderes perguntas mais complexas e diferenciadas”, disse  Olyaei. A maioria das perguntas do conselho podem ser categorizada em cinco áreas. 

A questão do incidente

Como é: Como isso aconteceu? Eu pensei que você tinha isso sob controle? O que deu errado? 

Essas perguntas são feitas quando um incidente ou evento ocorre e o conselho já sabe ou o CISO está informando sobre isso. Eles podem fazer essas perguntas específicas para garantir a organização, enquanto grande parte dos funcionários trabalha em casa em condições incomuns. 

Como responder: Reconheça o incidente, forneça detalhes sobre o impacto nos negócios, descreva pontos fracos ou lacunas que precisam ser resolvidos e forneça um plano de mitigação.

A questão do trade-off

Como é: somos 100% seguros? Você tem certeza? 

Por que é solicitado: perguntas como essa são frequentemente feitas por membros do conselho que não entendem verdadeiramente a segurança e o impacto nos negócios.

Como responder: Comece com algo como: “Meu papel é implementar controles para gerenciar o risco. À medida que nossos negócios crescem, precisamos reavaliar continuamente quanto risco é apropriado. Por tanto, é impossível eliminar todas as fontes de risco.“

A questão da paisagem

como é: quão ruim é por aí? E o que aconteceu na empresa X? Como somos comparados aos outros? 

Por que é perguntado: Eles querem saber como é o clima e como eles se comparam aos outros.

Como responder: Considere discutir uma série de respostas de segurança mais amplas, como identificar uma fraqueza semelhante e como ela está sendo corrigida ou atualizar planos de continuidade de negócios.

A questão do risco

Como é: sabemos quais são nossos riscos? O que te mantém acordado à noite? 

Por que é perguntado: Eles querem saber que riscos da empresa estão sendo tratados para defender as decisões de gerenciamento de riscos. 

Como responder: explique o impacto comercial das decisões de gerenciamento de riscos e garanta que suas posições sejam apoiadas por evidências. A falta de controle não é um risco, nem a próxima grande ameaça. Concentre-se nos itens mais importantes que você controla (perda de IP? Regulamento? Risco de terceiros?).

A questão do desempenho

Como é: Estamos alocando recursos adequadamente? Estamos gastando o suficiente? Por que estamos gastando tanto? 

Por que é perguntado: Os membros do conselho desejam saber sobre métricas e ROI.

Como responder: use uma abordagem de balanced scorecard na qual a camada superior exprima as aspirações de negócios e o desempenho da organização contra essas aspirações seja ilustrado usando um mecanismo simples de semáforo.

Muitas perguntas serão feitas e, é necessário estar preparado para trazer respostas conclusivas e com base em dados reais a seus gestores. Para isso a Clavis – Segurança da Informação oferece ferramentas capazes gerenciar as vulnerabilidades, atuando em sua identificação, na caracterização dos riscos reais ao negócio, no planejamento de correções e no acompanhamento da execução, com o Sistema BART (Baselines, Análise de Riscos, Testes de Segurança). Além do Octopus SIEM, que também atua na realização de integração de dados relevantes à segurança, a correlação de eventos para a identificação de incidentes de segurança, e a retenção de dados por questões de conformidade ou com vistas a potenciais ações de análise ou investigação forense.