Um relacionamento CISO/CFO bem-sucedido ajudará a garantir que uma organização tenha os recursos certos para seu perfil de risco.

Todo Executivo-Chefe de Segurança (CISO) sabe que um dos aspectos mais importantes – e talvez desafiadores – do trabalho é obter o financiamento necessário para apoiar o programa de segurança cibernética. A pessoa responsável pela tomada de decisões sobre o orçamento geralmente é o Chefe do Setor Financeiro (CFO), portanto, seria prudente e oportuno que os CISOs venham a aprender as melhores maneiras de interagir com esses profissionais de finanças.

“O relacionamento CFO/Finanças-CISO é fundamental para entender como a [organização] mede seu sucesso, o que ajudará na melhor forma de medir e de se comunicar sobre as ameaças cibernéticas que enfrentam”, disse Arthur Treichel, CISO do Estado de Maryland.

Aqui estão algumas práticas recomendadas para CISOs ao trabalhar com o CFO em sua organização.

1 – Fale a língua do CFO

Os CISOs gostam de usar métricas relacionadas à atividade de segurança cibernética, diz Frank Dickson, vice-presidente do programa de Segurança e Confiança da empresa de pesquisa International Data Corp. (IDC). Isso inclui métricas como o número de alertas endereçados, tempo médio para responder, tempo médio para corrigir e tempo de permanência, dentre outros.

Esses são conceitos nos quais os chefes de finanças provavelmente não estão interessados, portanto, não faria sentido mencioná-los em discussões com esses executivos. “Os CFOs estão procurando métricas associadas à postura de risco e segurança”, diz Dickson. “Essencialmente, os CFOs querem saber se a organização está ‘segura ’. Comunicar informações sobre atividades de segurança frustra os CFOs, pois não fornece as informações que eles desejam.”

Uma boa prática é o CISO e o CFO sentar-se e estabelecer um conjunto de métricas que facilitará a comunicação das informações necessárias, diz Dickson. “Isso não significa que o CISO ensine ao CFO tudo sobre segurança cibernética”, diz ele. “Isso significa que um CISO venha a mudar a maneira como ele ou ela se comunica.”

Para executivos de segurança, conversar com o CFO “às vezes pode parecer um desafio”, diz Andy Ellis, sócio operacional da empresa de capital de risco YL Ventures e ex-CSO. “O CFO parece governar sobre um domínio inteiramente voltado para o registro de dados concretos e factuais. O CISO, por outro lado, costuma falar sobre risco em termos nebulosos e vagos ”.

2 – Aproveite modelos econômicos ricos em dados para quantificar o risco

Na mesma linha de falar a linguagem do CFO, os CISOs podem e devem usar modelos econômicos sempre que possível. “A adoção de um modelo de risco adaptado a informação econômica como Factor Analysis of Information Risk (FAIR) do FAIR Institute permite que você expresse o risco de segurança da informação em termos financeiros, o CFO – assim como o resto da equipe executiva e o conselho de administração – facilmente entenderá ”, diz Bradley Schaufenbuel, vice-presidente e CISO da Paychex, um fornecedor de produtos de gestão de capital humano.

“Adotar um modelo econômico para quantificar o risco das informações tem o benefício adicional de garantir que você esteja priorizando os esforços de redução de risco mais impactantes e otimizando os gastos com segurança cibernética, que é basicamente o que o CFO deseja do CISO”, diz Schaufenbuel.

Os modelos econômicos devem ser ricos em dados. “Devido à natureza de seu trabalho, a maioria dos CFOs toma decisões baseadas em dados”, diz Schaufenbuel. “Os dados são muito mais objetivos e difíceis de manipular do que opiniões subjetivas ou palpites. Um dos melhores investimentos que você pode fazer para melhorar a eficácia de suas mensagens para um CFO, bem como para outros executivos C-suite, é apoiar os pontos que você está fazendo com dados relevantes. ”

3 – Comunique-se regularmente

Depois que um CISO domina a linguagem do CFO, é aconselhável comunicar-se regularmente. As interações frequentes podem ajudar a manter os CFOs informados sobre as ameaças, vulnerabilidades, ferramentas, padrões, etc. de segurança cibernética mais recentes, e manter os CISOs cientes da situação financeira / orçamentária da organização.

Isso é especialmente verdadeiro devido ao cenário de segurança em rápida mudança, com novas ameaças surgindo constantemente e novas soluções chegando ao mercado. “A comunicação precisa ser proativa e frequente, mas também sucinta”, diz Dickson. Os CFOs não estão interessados ​​em se tornar especialistas em segurança cibernética, diz ele. Eles querem apenas garantias de que a organização esteja devidamente protegida e querem estar cientes do perfil de risco da organização.

4 – Invista em sua própria educação financeira

É necessário, porém não é suficiente transmitir o valor da cibersegurança usando modelos financeiros; Os CISOs precisam entender o funcionamento das finanças para trabalhar de forma eficaz com o CFO. “Para realmente merecer seu lugar na mesa executiva, um CISO precisa ser alfabetizado financeiramente”, diz Schaufenbuel. “Se você não entende a diferença entre uma demonstração de resultados e um balanço, além das nuances entre uma despesa operacional e um investimento de capital, será difícil para você ganhar o respeito de seus pares no C-Suíte, mas especialmente a do CFO. ”

Obter um MBA foi facilmente o melhor investimento que Schaufenbuel fez em seu próprio desenvolvimento profissional, diz ele. “Nos pontos onde um diploma avançado não aborda muito a prática, você pode optar por alguns cursos on-line em conceitos básicos de contabilidade e finanças, que são melhores do que tentar navegar no alto escalão sem conhecimento financeiro”, diz ele.

Obviamente, o CISO pode ajudar a educar os líderes financeiros e suas equipes sobre questões básicas de segurança, sem se meter nas ervas daninhas ou pontos de discórdia. “Em alguns casos, para mim, as melhores relações com o CFO ou tesoureiro começaram com um exemplo prático de um incidente”, diz Treichel. “Os funcionários do setor financeiro são um alvo ideal de ataques cibernéticos – campanhas de phishing / vishing / malware direcionadas a funcionários que podem autorizar transações financeiras são muito comuns. Reservar um tempo extra para educar e trabalhar com essas equipes reduzirá o risco e construirá um bom relacionamento com o CFO. ”

5 – Entenda o processo de orçamento

Na maioria das organizações, os CFOs não controlam o orçamento. Eles controlam o processo de orçamento, diz Ellis. “Essa é uma distinção sutil, mas importante. Se sua empresa tem um ciclo de orçamento anual em que o orçamento do ano é “definido” em novembro, há um processo de elaboração do orçamento de meses antes. Se você aparecer em novembro com uma nova solicitação de orçamento, é claro que terá resistência, independentemente da importância de sua necessidade.”

Mesmo que a empresa retenha parte do orçamento para surpresas, Ellis diz, “você está dificultando o trabalho de todos e denegrindo o trabalho deles, trabalhando fora do processo”.

Quando os CISOs precisam trabalhar fora do processo por causa de alguma urgência inesperada, eles precisam entender a dificuldade que isso está causando e ver se podem ajudar. “As probabilidades são, no caso de você precisar de dinheiro fora do ciclo de orçamento, que tenha que vir do orçamento de outra pessoa ou local”, diz Ellis.

6 – Não negligencie o planejamento

Um bom planejamento de segurança cibernética é importante por si só, mas é especialmente importante para lidar com o CFO e outros executivos financeiros. “Os CFOs detestam surpresas”, diz Dickson. “A última coisa que um CFO deseja é uma surpresa inesperada no final de um ano fiscal.”

É uma boa ideia atualizar os planos regularmente, incluindo tudo relacionado a novos investimentos em ferramentas e serviços de segurança. Também é bom planejar para o futuro. Os ciclos de planejamento de TI típicos de 12 meses precisam chegar ao fim, diz Dickson. “Os planos precisam ser de vários anos e abrangentes em TI e segurança”, diz ele.

O planejamento plurianual não só pode melhorar a eficácia da segurança, mas aumentar a previsibilidade, diz Dickson. “A ameaça de despesas imprevistas é drasticamente reduzida”, diz ele. “Além disso, a ameaça de despesas imprevistas também pode ser iluminada, portanto, o CFO pode optar por fazer concessões.” Esta recomendação pode ser bem útil ao atual cenário de imprevisibilidade dos ataques cibernéticos, como o caso dos ramsonware.

7 – Análise subjetiva e objetiva separada

Fora de alguns pontos específicos, como fraude, quase todas as análises de segurança são subjetivas, diz Ellis. “Mesmo os métodos aparentemente quantitativos [são] realmente apenas uma simulação”, diz ele. “Nos bastidores, são apenas avaliações subjetivas que têm números grampeados no topo.”

Isso não é exclusivo das equipes de segurança, diz Ellis. “As equipes financeiras costumam ter previsões que contêm alguma medida de subjetividade”, diz ele. “Mas uma análise financeira com subjetividade geralmente é solicitada, cuidadosamente identificada e inspecionada após o fato, se estiver imprecisa.”

As suposições de segurança, por outro lado, raramente se prestam a uma análise crítica, diz Ellis. “Os CISOs falam sobre o retorno do investimento em segurança usando suposições sobre a probabilidade de que saem do nada e, em seguida, reivindicam o crédito se algo não der errado ou culpam os outros se der,” ele diz. “Quando foi se comunicar com um CFO, reconhecer as suposições que entram em nossas previsões é o início de uma conversa. Não exagere na sua capacidade de previsão, assim você poderá encontrar um parceiro que terá mais empatia para seus desafios. ”

Fonte: www.csoonline.com

Posts relacionados: O descarte de ativos de TI é um risco de segurança que os CISOs precisam levar a sério / 7 dicas para ajudar CISOs a obterem suporte em nível de diretoria e Como o trabalho híbrido de longo prazo está mudando as estratégias de segurança