A conquista do Board: a arte de falar sobre segurança de TIC com quem decide
Rita D’Andrea*
O CISO tem como uma de suas principais missões comunicar os desafios da segurança de TIC para os membros do conselho da empresa onde ele atua. Em plena era da transformação digital, isso tem de acontecer de forma contínua. Ainda assim, vale a pena nos concentramos nas oportunidades em que o CISO irá fazer uma apresentação sobre sua área para os integrantes do Board. Podemos ver esse encontro como um momento intenso de aprendizagem, onde ocorrerá interação com pessoas que, em alguns casos, talvez tenham pouca familiaridade com a área de TIC.
Uma boa apresentação não pode passar de 15, 20 minutos, e precisa cativar a audiência para provocar perguntas e comentários. Lembre-se do perfil dos seus interlocutores e construa uma mensagem que, sendo fiel aos desafios vividos pela área de TI e Segurança, também consiga causar impacto sobre os membros do conselho. Os conselheiros precisam compreender os riscos de negócio enfrentados por você e como você planeja mitigá-los.
Eis aqui seis passos para conquistar os corações e as mentes desses interlocutores:
- Conte histórias reais sobre ameaças cibernéticas reais
Os membros do conselho estão, normalmente, afogados em números. E, infelizmente, todos conhecemos os prejuízos causados pelos crimes digitais – somente nos EUA, até 574 bilhões de dólares são perdidos anualmente. E daí?
Informações como essa não comunicam os prejuízos que sofrem as empresas atacadas. Sua meta deve ser, durante a apresentação, ajudar esses líderes a compreender os riscos gerais de se fazer negócios online, além de abordar as ameaças enfrentadas especificamente por sua vertical e por seu negócio.
Funcionará muito mais contar uma história constrangedora sobre uma violação de segurança real, preferivelmente na sua vertical da economia. Todos os membros do board conhecem o negócio e compreenderão quando você falar dos dados e das aplicações que são críticas para a continuidade dos processos – mostre que esse ativo é um grande alvo dos criminosos digitais e que isso exige que a empresa saiba como defender esse tesouro. Se possível, desenhe uma imagem do que aconteceria com os processos internos, com o relacionamento com fornecedores e parceiros, com o atendimento ao cliente se esses sistemas forem comprometidos.
- Forneça métricas que convençam
Se houver brechas no controle de segurança para cuja solução você está se esforçando para conseguir recursos, mostre-lhes provas de que a empresa está continuamente sofrendo ataques, de que as suas redes são constantemente sondadas. Deixe claro que essa é uma guerra sem tréguas e que não é possível voltar atrás e realizar negócios fora da economia digital. Ensine-os. Surpreenda-os. E, em tudo o que falar, mostre seu compromisso com as metas de negócios da empresa.
Nesse momento, sua assistência já foi fisgada e você pode apresentar poucas e boas estatísticas – use somente dados que façam sentido para seus interlocutores:
- 73% das empresas sofreram pelo menos uma violação de segurança no ano passado (dado da Comptia)
- Quase um terço dos funcionários submetidos a phishing abrirão e-mails fraudulentos (dado do InfoSec Institute)
- Mais de 10% deles mordem a isca do phising, clicando num link do e-mail infectado e abrindo uma brecha para os ciber criminosos (InfoSec Institute)
- Um minuto e quarente e dois segundos é o tempo entre o ataque de um hacker e os seus sistemas serem comprometidos (InfoSec Institute)
- Em média, os hackers estão dentro da sua organização 146 dias antes de serem descobertos (pesquisa da Fireeye)
- Web apps são o ponto de entrada número 1 para violações (InfoSec Institute)
Obtenha o apoio do Board para uma cultura de segurança
Mais do que se focar em tecnologia, o CISO luta pela manutenção de uma cultura de segurança cibernética em sua empresa. Afinal, erros humanos são responsáveis por 56% das violações cibernéticas (dado da Comptia). Uma empresa segura é uma empresa na qual todas as pessoas estão conscientes das ameaças digitais e fazem sua parte na redução dos riscos. Isso começa com um rigoroso — e repetido — treinamento; e, talvez, até mesmo a aderência a um padrão como o selo de segurança para empresas ISO 27001. Muitos membros do Board já vivenciaram processos de certificação de qualidade. Se você usar o selo ISO 27001 como um exemplo de meta a ser perseguida, isso poderá tornar concreto para seus interlocutores os desafios diários de segurança vividos por seu time.
Convença-os de que eles necessitam de ajuda para responder a incidentes
Incentive o conselho a encarar os fatos: Atualmente, todas as corporações enfrentam a possibilidade muito real de sofrer uma violação. A extensão dos danos sofridos depende da rapidez e da eficácia com que a empresa reage a isso; portanto, por que não se preparar? A maioria das empresas não têm as habilidades necessárias para uma eficaz resposta a incidentes (IR) – ou seja: o que acontecerá após o ataque à sua empresa ser detectado. Nesta batalha, em especial, é essencial contar com apoio técnico, de auditória e, nos piores casos – quando o ataque sofrido se torna público – de relações públicas. Esses vários profissionais poderão ajudar a recuperar a credibilidade e o valor da marca perdidos com a exposição causada pelo ataque.
Discuta o seguro cibernético
No mercado norte-americano, o seguro cibernético já integra a estratégia de segurança. O seguro cibernético é a área de seguros que mais cresce no mundo, com projeção de aumento de 2,5 bilhões de dólares em prêmios (dado de 2016) para 7,5 bilhões de dólares em 2020. Hoje, no entanto, apenas 19% das empresas já contrataram esse tipo de seguro.
Cultive o contato com os membros do Board de forma a conquistar a aprovação para novas tecnologias de segurança
Uma apresentação não conseguirá garantir o entendimento dos membros do Board sobre os desafios de segurança vividos pela sua empresa. É fundamental criar estratégias de comunicação que mantenham esses interlocutores informados e atentos para a ousadia e a inventividade dos criminosos digitais. A conquista de verba para a compra de soluções capazes de vencer a tecnologia usada pelos criminosos é algo que depende de você investir parte do seu tempo mantendo os conselheiros conscientes desta luta. Tanto os gestores do negócio como os membros do conselho precisam conhecer os riscos e aceitá-los ou, então, lutar pela implantação das soluções capazes de proteger a empresa.
Em tempos de economia digital, a segurança de TIC não é mais uma missão somente da área de tecnologia. A empresa como um todo, do Board ao mais recente funcionário contratado, precisa compreender essa realidade e lutar unida pela vitória.
*Rita D’Andrea é country manager da F5 Brasil