7 dicas para ajudar CISOs a obterem suporte em nível de diretoria

Os diretores de segurança da informação (CISOs) têm um trabalho importante de gerenciar uma postura de segurança saudável em uma organização – mas obter suporte no nível do conselho pode ser um desafio.

Para receber financiamento adequado, o CISO moderno de hoje precisa mais do que apenas aptidão técnica e habilidades de gerenciamento. Os líderes de segurança também exigem discernimento comercial e competência de comunicação. Sua estratégia de segurança deve estar alinhada com as metas e objetivos de negócios, a fim de obter o suporte dos executivos e acionistas de nível C.

Com suporte em nível de diretoria, os CISOs podem aumentar a maturidade de segurança da organização em:

  • Implementando políticas e procedimentos
  • Expandindo a equipe de segurança
  • Terceirização de tarefas para um provedor de serviços de segurança gerenciada (MSSP)
  • Investir em uma ferramenta SOC necessária

É fácil entender por que conseguir a adesão do conselho é tão importante, mas para o CISO de hoje obter o suporte, de que precisa?

1. Conheça o seu público

Ao fazer uma apresentação para um conselho executivo, não se trata apenas do que você está lançando, mas também para quem está lançando, o que pode mudar drasticamente a forma como você aborda o assunto. O público pode alterar a forma como você enquadra o risco à segurança, enfatiza as necessidades e soluções e muda o tom da sua apresentação.

2. Conheça o negócio 

Os CISOs vivem e respiram segurança, mas também precisam ser bem versados ​​na visão de negócios e compreender totalmente o modelo de negócios, os motivadores e a proposta de valor da organização. Isso levará à construção de uma estratégia de segurança mais coesa que vai além das metas e objetivos da organização.

Lembre-se sempre de que o conselho se preocupa com a segurança no contexto dos negócios. Eles ouvirão com atenção quando você mencionar qualquer coisa sobre risco para a empresa, o impacto do seu plano e o cenário de custos .

3. Evite FUD

Medo, incerteza e dúvida (FUD) costumam ser usados ​​como uma tática de intimidação para influenciar o conselho a investir no programa de segurança. Certifique-se de evitar cenários de terror e de pior caso. Pode ser uma distração dos principais problemas ou ameaças relacionados aos negócios, o que pode afetar sua credibilidade como líder de segurança na organização. Os membros do conselho não querem perder tempo e verão através de palavras da moda que exageram as ameaças e não têm solução viável.

Se você está procurando construir credibilidade durante sua apresentação, é melhor usar citações de especialistas e estatísticas de fontes confiáveis ​​do setor.

4. Comunique as vitórias

O retorno sobre o investimento (ROI) é extremamente importante para os membros do conselho. É imperativo sempre acompanhar o resultado de quaisquer fundos que foram aprovados. Sempre descreva claramente como um investimento em segurança abordou os desafios do negócio e reitere as melhorias que resolveram esses problemas.

Ao relatar sobre ROI, inclua exemplos tangíveis usando histórias e dados concisos. Não sobrecarregue sua apresentação com muitos números e estatísticas – você pode perder a atenção dos membros do conselho ou distraí-los das métricas mais importantes! 

5. Não ignore a conformidade

A conformidade regulatória é um componente necessário dos negócios modernos . Pode ser um fator determinante na solicitação de financiamento ou na comprovação do valor de sua equipe de segurança. Todas as empresas devem atender a determinados padrões, leis e regulamentos. Isso é extremamente importante para os membros do conselho, especialmente em setores altamente regulamentados, como saúde, federal e financeiro. A negligência e o descumprimento podem levar a consequências pesadas, portanto, você pode apelar para as preocupações do conselho ao levantar essa questão.

A empresa Clavis Segurança da Informação  oferece o serviço de Gap Analysis, focado em avaliação de conformidade com a LGPD, ISO 27001 e demais normas do mercados, clique aqui e saiba mais.

6. Comunique-se de forma clara e simples

Antes da apresentação, é útil resumir os pontos-chave que você planeja cobrir em um pré-briefing. Isso estabelecerá expectativas claras sobre o que você deseja cobrir e dará ao conselho tempo para processar algumas das informações. Você também pode se reunir individualmente com cada membro do conselho com antecedência para apresentar seu caso e responder a perguntas antes da apresentação formal.

7. Em caso de emergência

As violações de segurança são inevitáveis. Em algum momento, você terá que dar más notícias ao conselho. Quando chegar esse momento, é fundamental ser transparente e factual. Os membros do conselho contam com você para manter a compostura profissional durante um incidente. É fácil ficar sobrecarregado, mas é importante manter o equilíbrio e nunca minimizar um incidente. Também é tão importante não causar pânico ou exagerar um incidente.

Quando você tem uma violação, esta é uma chance de inspirar confiança no conselho e construir credibilidade, comunicando de forma eficiente como sua equipe está respondendo. Ter um processo simplificado para relatar incidentes ajuda a garantir a confiança de todas as partes envolvidas.

Octopus SIEM trata-se de uma plataforma que permite que os eventos gerados por diversas fontes de dados sejam coletados, normalizados e armazenados de forma centralizada; fornecendo assim uma visão ampla sobre o parque tecnológico e maior agilidade na identificação de ameaças através de técnicas de agregação e correlacionamento de dados. Para mais informações sobre a solução, clique aqui e assista ao webinar.

Fonte: Logrhythm

Para acessar mais conteúdos como este e ficar por dentro das notícias em segurança da informação, clique aqui e acesse nosso portal e, acompanhe nossas postagens nas redes sociais (instagramfacebooktwitteryoutube).