Depois que a COVID acelerou a adoção digital, as organizações estão mais focadas na segurança cibernética do que nunca. Anteriormente, o CISO (Chief Information Security Officer) precisava defender a importância de uma organização segura, mas agora a ênfase na segurança cibernética está vindo de cima para baixo.
Tradicionalmente, o CISO era mais uma função técnica, reportando-se apenas ao diretor de informações (CIO). Agora, espera-se que o CISO seja um líder empresarial e se concentre em mais do que apenas os aspectos técnicos do trabalho. O CISO precisa se comunicar e liderar a equipe técnica, ao mesmo tempo em que fala com os líderes empresariais de uma forma que eles possam entender, garantindo que a estratégia cibernética esteja relacionada à estratégia de negócios da organização.
Aqui estão cinco dicas de como um CISO pode abraçar essa função recém-definida, atender às expectativas do conselho e fortalecer a postura de segurança de uma organização.
1- Relate o risco com precisão
Alguns CISOs cometem o erro de minimizar o nível de risco de sua organização por medo de serem diretamente responsabilizados por uma pontuação de alto risco. No entanto, esse tipo de relatório pode ter o efeito oposto. Como a organização não está preocupada, os CISOs não receberão o suporte necessário para reduzir o risco, tornando a situação ainda mais terrível.
Ser honesto sobre o risco cibernético pode capacitar a liderança sênior e os executivos a tomar decisões eficazes baseadas em dados para abordar esses riscos e dar suporte ao CISO, fornecendo os recursos necessários.
Novos requisitos de conformidade impulsionarão a transparência e incentivarão o uso de estruturas e frameworks para relatar o risco cibernético. Também pode ajudar os CISOs a compartilhar a responsabilidade do risco cibernético com o restante da organização, garantindo que os riscos sejam divulgados e claramente articulados à gerência executiva.
2 – Comunique-se com públicos técnicos e comerciais
Os CISOs devem transmitir mensagens complexas de forma convincente e tangível, e os dados podem ser benéficos nessa situação. No entanto, os CISOs devem adaptar os dados ao público. Por exemplo, fazer benchmarking com outras empresas do mesmo setor pode ser muito útil ao se comunicar com as partes interessadas. Ao falar com um comitê de risco, você deve discutir a cobertura e a eficácia do controle.
Os CISOs devem se concentrar em conectar seus investimentos cibernéticos aos resultados comerciais reais e resultados que importam para a gerência e o conselho. As ferramentas de simulação de violação e ataque (BAS) são uma ótima maneira de ajudar a contar essa história. Por exemplo, testes contínuos com BAS podem mostrar a cobertura de segurança antes que um novo controle de segurança seja implementado e demonstrar uma tendência positiva de cobertura aprimorada após a ferramenta ser implantada.
Além disso, ao focar nos resultados comerciais que a organização espera, você pode adaptar os dados para contar essa história. Por exemplo, se o resultado for um impacto financeiro reduzido nos negócios, você pode mostrar aumento na produtividade da equipe devido a um investimento em ferramentas automatizadas.
3 – Utilize testes de segurança ofensivos automatizados
É arriscado implantar controles de segurança e presumir que eles são eficazes sem testá-los continuamente. Avaliações manuais que podem ter funcionado há 10 anos não são suficientes quando confrontadas com a evolução diária de ameaças e projetos de transformação digital que adotam novas tecnologias, migram aplicativos para a nuvem e integram sistemas internos com parceiros da cadeia de suprimentos. A automação precisa ser incluída na equação.
A validação de segurança automatizada fornece aos CISOs uma visão contínua, abrangente e orientada por dados de seus investimentos e desempenho em controle de segurança. Ela ajuda os CISOs a se concentrarem nas lacunas de sua equipe e a entender onde investir mais tempo e recursos. As ferramentas de validação de segurança permitem que os CISOs se comuniquem com as partes interessadas sobre as lacunas da organização, a estratégia para preenchê-las e os resultados dos esforços da equipe.
A validação de segurança automatizada também pode ajudar a rastrear e gerenciar o desvio de segurança. Além disso, ao identificar lacunas em seus controles, você pode priorizar e garantir que as mais críticas sejam abordadas antes de serem exploradas.
4 – Crie uma cultura de conscientização cibernética
As pessoas sempre serão o elo mais fraco em todas as organizações. Ao criar conscientização dentro de uma empresa sobre diferentes métodos para violar a empresa, como phishing, um CISO pode diminuir o risco. Exercícios simples de simulação de conscientização sobre phishing uma vez por mês podem encorajar os funcionários a serem mais vigilantes sobre os e-mails que abrem e os links em que clicam. Se os funcionários mostrarem fraquezas específicas, os CISOs podem criar workshops de phishing para ajudar a educá-los.
5 – Equilibre as iniciativas comerciais com a estratégia cibernética
A segurança pode ser vista como um obstáculo inconveniente para as empresas. Portanto, os CISOs devem cultivar bons relacionamentos com a liderança sênior e a equipe executiva, para que possam ser incluídos quando grandes decisões forem tomadas. Suponha que o CISO tente entender novas iniciativas comerciais e trabalhe para encontrar uma maneira de fazê-lo com segurança. Nesse caso, quando o CISO diz que algo é impossível de fazer com segurança, a liderança estará mais propensa a ouvir.
Essa abordagem também funciona se uma iniciativa cibernética for essencial para a organização, mas não tiver orçamento disponível. Um CISO valorizado será capaz de abordar a liderança e justificar que a empresa deve investir o dinheiro agora para proteger a organização em seus próprios termos, em vez de pagar mais depois por causa de uma violação imprevista – além de todos os outros efeitos colaterais de um ataque.
CISOs devem adotar uma abordagem proativa na estratégia de segurança cibernética de suas organizações
CISOs que adotam uma postura proativa em relação à segurança cibernética de suas organizações fortalecerão sua postura de segurança e alinharão os esforços de segurança cibernética com objetivos comerciais mais amplos, abrindo caminho para uma comunicação aprimorada com a liderança. Métricas e relatórios baseados em dados podem dar suporte aos CISOs em sua função e garantir a eles um assento na mesa executiva.
Ebook gratuito para CISOS
Roteiro indispensável para o CISO: Como a IA e Machine Learning estão revolucionando a detecção e resposta a ameaças.
Deixe um comentário