Como comunicar o risco cibernético à liderança

Por Norman Marks, CPA, CRMA

Gosto de dizer aos profissionais do risco que, quando se apresentam à direção, têm de o fazer:

Diz-lhes o que eles precisam de saber, não o que tu queres dizer!

Há uma grande diferença!

Muitas pessoas cometem este erro e inundam o conselho de administração e a gestão de topo com informações técnicas, em vez das informações comerciais que a liderança precisa de saber.

O que os líderes precisam de saber varia, mas normalmente resume-se a uma coisa: precisam de informação para tomar as decisões estratégicas e tácticas correctas e assumir os riscos certos necessários para o sucesso. (Para mim, o sucesso é a realização dos objectivos da empresa. É assim que o desempenho do CEO e de outros executivos de topo é normalmente medido pelo conselho de administração).

Em Making Business Sense of Technology Risk, refiro-me a um estudo recente da Osterman Research. Em How board boards of directors feel about their cybersecurity reports, concluíram que:

85% dos membros do conselho de administração acreditam que os executivos de TI e de segurança precisam de melhorar a forma como prestam contas ao conselho de administração.
59% dizem que um ou mais executivos de segurança informática perderão o emprego por não fornecerem informações úteis e accionáveis.
54% concordam ou concordam fortemente que os relatórios são demasiado técnicos.
Apenas 33% dos executivos de TI e de segurança acreditam que o conselho de administração compreende as informações de cibersegurança que lhes são fornecidas.

Isto é impressionante. Os membros do Conselho de Administração dizem que os relatórios cibernéticos que recebem não os ajudam a gerir a empresa. É surpreendente que a administração não esteja a dar aos profissionais de InfoSec o apoio (tempo e recursos) de que necessitam?

Os conselhos de administração e os executivos recebem normalmente relatórios que incluem alguns ou todos os seguintes elementos:

Avalia se o risco cibernético é alto, médio ou baixo. A avaliação pode ser feita sob a forma de um mapa de calor e pode fazer parte de um relatório global de riscos, normalmente uma lista de riscos (mais uma vez classificados como elevados, médios ou baixos)
Uma lista de “activos de informação” classificados em termos de risco (tal como sugerido pelos quadros cibernéticos proeminentes)
A avaliação pela direção – por um diretor de segurança da informação (CISO), caso exista, ou pelo diretor de riscos – sobre se o risco cibernético está dentro do apetite de risco da organização
Avaliações da adequação das capacidades de defesa, deteção e resposta aos riscos
Informações sobre as acções planeadas para resolver as deficiências identificadas
Pedidos de recursos adicionais

Mas será que esta informação ajuda a gestão de topo e o conselho de administração a tomar as decisões estratégicas e tácticas necessárias para o sucesso?

Um relatório recente da McKinsey & Co, Cyber Risk Measurement and the Holistic Cybersecurity Approach, revelou que:

Os conselhos de administração e os comités são inundados com relatórios, incluindo dezenas de indicadores-chave de desempenho e indicadores-chave de risco (KRI). No entanto, os relatórios são muitas vezes mal estruturados, com dados incoerentes e demasiado pormenorizados.
A maioria dos relatórios não consegue transmitir as implicações dos níveis de risco para os processos empresariais. Os membros do Conselho de Administração consideram estes relatórios desinteressantes – mal escritos e sobrecarregados com acrónimos e estenografia técnica. Consequentemente, têm dificuldade em ter uma noção do estado geral do risco da organização.
Num evento recente sobre cibersegurança, um executivo de topo disse: “Quem me dera ter um tradutor portátil, do tipo que usam no Star Trek, para traduzir para um inglês compreensível o que os CIOs [chief information officers] e os CISOs [chief information security officers] me dizem”.

Os CISOs precisam de encontrar uma forma de informar a liderança se a possibilidade de uma violação cibernética grave – uma que impeça ou, pelo menos, iniba significativamente a realização dos objectivos da empresa – é, pelo menos, razoavelmente provável. O ideal é que apontem para objectivos específicos e ajudem os membros do conselho de administração e da equipa executiva a saber até que ponto estão em risco e são susceptíveis de falhar. Devem trabalhar com o CRO para que os líderes possam ver o panorama geral: todas as coisas que podem acontecer, incluindo, mas não se limitando ao ciberespaço, que podem impedir o sucesso.

Quando eu era um executivo de TI, a minha equipa tinha a responsabilidade de desenvolver planos de recuperação de desastres de TI e planos de retoma da atividade. Efectuámos uma análise do impacto comercial (BIA): Se houvesse uma falha de energia, como é que os serviços prestados pela empresa seriam afectados? Durante quanto tempo poderia a empresa sobreviver a uma falha de energia sem consequências graves? Qual é a probabilidade de uma perda de serviço grave? Qual o montante de recursos que faz sentido investir para reduzir o impacto e/ou a probabilidade para níveis aceitáveis?

Precisamos de fazer o mesmo BIA para o ciberespaço.

Em vez disso, somos influenciados pelas notícias públicas de violações maciças. No entanto, de acordo com o último relatório do Ponemon Institute sobre o custo de uma violação de dados, o custo médio de uma violação de dados é de apenas 3,9 milhões de dólares. Rand’s Examining the Costs and Causes of Cyber Incidents, concluiu que:

“Os incidentes cibernéticos custam às empresas, em média, apenas 0,4% das receitas anuais. Em comparação, as taxas globais de corrupção, declarações financeiras incorrectas e fraude de faturação representam 5% das receitas anuais, seguidas da quebra no retalho (1,3%) e da fraude em linha (0,9%).”

Todas as organizações precisam de realizar uma análise de impacto que considere a natureza da sua atividade e a forma como uma violação a pode afetar. Fornecer aos líderes as informações de que necessitam para tomar decisões inteligentes e informadas sobre se o nível de risco é aceitável e, se não for, quanto investir em alguma combinação de defesa, deteção e resposta.

Os líderes precisam de tomar decisões – e precisam de informações, tais como:

Qual é a probabilidade de uma violação ou de uma combinação de violações que afecte a empresa de forma tão grave que não se atinjam os nossos objectivos (receitas, quota de mercado, objectivos de lucro, etc.)?
Que objectivos não conseguiríamos atingir?
Podemos reduzir o risco para níveis aceitáveis? Em caso afirmativo, quais são as opções, qual o grau de risco que seria atenuado, durante quanto tempo o risco seria reduzido e qual o custo dessas opções?
Tens dinheiro para isso? De onde vem o dinheiro?
Faz sentido para o negócio investir no ciberespaço em detrimento de uma nova campanha de marketing, do desenvolvimento de um produto ou de uma nova tecnologia?
Devemos adiar ou mesmo cancelar projectos de tecnologia intensiva que aumentem o risco cibernético, como a automação avançada?
Temos a equipa de gestão certa para lidar com o ciberespaço?

Os CEOs devem trabalhar com o CRO, o CISO e os CIOs para garantir que são fornecidas informações accionáveis ao conselho de administração e aos executivos.

Diz-lhes o que precisam de saber para poderem desempenhar as suas responsabilidades de liderança e governação. Compreende as decisões que têm de tomar, a informação de que necessitam – e depois dá-lhes essa informação.

Para obter mais informações de Norman Marks sobre como comunicar o risco cibernético à liderança, assista ao nosso webinar sob demanda com Norman Marks, disponível agora na Biblioteca de Recursos Riskonnect.

Ready to Talk?

Work with us.

Connect with us.

Como comunicar o risco cibernético à liderança

Share This, Choose Your Platform!

Related Posts

A Lei da IA da UE: O que precisas de saber agora

Ready to Talk?

Work with us.

Connect with us.