Cibersecurity tem se tornado assunto mais frequente no board, mas como reportar falhas?

Pesquisa feita durante o Infosecurity Europe aponta dificuldade muito grande dos Security Officers de enfrentar o board executivo para reportar perdas, ataques e vazamentos de informação.

Segundo a pesquisa mais da metade dos profissionais de segurança da informação, Security Officers, preferem enfrentar um tratamento de canal dentário do que reportar falhas ao board executivo.

A notícia boa é que cybersecurity tem se tornado assunto mais frequente nas reuniões executivas.

Nos últimos 12 ou 18 meses devido as diversas ocorrências globais de segurança, e principalmente no ultimo mês com o ataque do WannaCry, o assunto de cybersecurity tem tomado mais a atenção do board executivo. No Brasil as regulamentações de alguns setores como o setor financeiro, a bastante tempo orientam e cobram o setor, exigindo um maior acompanhamento executivo, no entanto outros setores, como o de Saúde, começam a se mexer para salvaguardar as informações de seus clientes.

No entanto é notório ainda a dificuldade do Security Officer de reportar falhas e ameaças sem que seja classificado como “terrorista”, então como reportar de forma efetiva sem causar pânico geral?

A dica do site InfoSecurity Magazine, e que o autor desta notícia já vivenciou, é criar uma agenda periódica de reportes e status, com os pontos reporte mais relevantes sob a ótica do negócio.

Vamos exemplificar:  reportar ao board quantos chamados tem sido atendidos pela equipe de controle de acesso, não representa mais que números de controle da área, mas reportar a o histórico de chamados atendidos, demonstrando uma curva de crescimento, comparada com a quantidade de recursos operacionais em FTEs que atuam no controle de acesso, pode demonstrar ganho de produtividade ou necessidade de investimento em automações ou crescimento da equipe ou ainda uma tomada de ação diferenciada junto aos gestores.

Por isto, a estratégia de criar um reporte mensal, que chegue a mesa do executivo, com métricas cuidadosamente estruturadas e pensadas sob a visão executiva, pode criar um meio de mostrar tendências que podem no futuro gerar impactos ou ainda demonstrar as ações de análises de risco e demandas por tomada de decisão do board  para a assunção de risco ou a liberação de investimentos  para a redução do nível de risco a patamares aceitáveis por todos.

O objetivo da empresa é obter lucro para seus acionistas e não investir em segurança

Vamos compreender que nunca tivemos e nunca teremos prioridade de investimentos na área de segurança, nem mesmo no setor financeiro. Os investimentos são feitos mediante a necessidade de compliance regulatório  e  ganhos financeiros,produtivos ou redução de risco operacional, para a empresa. Desta forma é imperativo que o profissional de segurança seja estratégico em sua interação com o board, compreendendo seus objetivos e procurando adaptar sua linguagem aos executivos que serão seus interlocutores. É necessário que haja uma comunicação periódica, consistente e contínua, para que o Security Officer não seja chamado somente nos momentos de crises e problemas, onde os ânimos, paciência e disposição de tratar o assunto são os piores possíveis. Nestes momentos certamente o Security Officer será visto como um estorvo e não como um solucionador e protetor dos resultados da empresa.

por MindSec  23/06/2017

 

About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.