Cibersegurança para Negócios
15 de dez. de 2023
|
Leitura Rápida
Garantindo o Sucesso: Falando com o Conselho sobre Risco Cibernético
O risco cibernético em todos os níveis empresariais influencia operações, reputação e conformidade.
A cibersegurança é uma questão importante. Portanto, a supervisão do conselho é fundamental para uma mitigação eficaz. No entanto, de acordo com uma recente pesquisa da National Association of Corporate Directors (NACD), menos de 15% dos diretores expressam alta satisfação com as informações sobre cibersegurança que a gestão fornece. Aqui estão algumas dicas para melhorar as discussões sobre cibersegurança a nível de conselho.
O que seu conselho precisa
Os conselhos oferecem supervisão estratégica enquanto a gestão cuida da execução, o que inclui a gestão de riscos cibernéticos. Independentemente do setor, regulamentações ou presença geográfica, os conselhos geralmente buscam uma tradução dos detalhes técnicos para termos de negócios da gestão — destacando riscos, oportunidades e implicações estratégicas.
Aqui estão algumas perguntas que os membros do conselho devem fazer aos CISOs (e as perguntas que os CISOs devem ser capazes de responder claramente):
Qual é o nosso apetite por riscos cibernéticos?
Quais são as métricas mais importantes que usamos para monitorar e avaliar o risco para a empresa?
Qual é o caso de negócio para a cibersegurança? Em outras palavras, como a cibersegurança pode habilitar outras funções de negócios em todo o empreendimento?
Quais são os níveis de risco interno e externo?
Como medimos a eficácia do programa de cibersegurança da nossa organização e como ele se compara aos de outras empresas? Por exemplo, como rastreamos a conscientização sobre cibersegurança em toda a organização através de indicadores como conformidade de políticas, implementação e conclusão de programas de treinamento?
Como avaliamos a posição de risco cibernético de nossos fornecedores, vendedores, parceiros de joint venture e clientes?
Quanto do nosso orçamento de TI é gasto em atividades relacionadas à cibersegurança? Como essa alocação se compara aos nossos concorrentes ou outros referenciais externos?
Quantos incidentes de dados a organização experimentou no último período de relatório? Entrando nos detalhes, quais são as tendências críticas, padrões e causas raízes?
Qual é a abrangência e profundidade das atividades de monitoramento operacional de cibersegurança da empresa? Existem áreas que não estamos monitorando e, se sim, por que não?
Como fornecer métricas a nível de conselho
Depois de identificar o que seu conselho precisa saber sobre cibersegurança, é hora de compartilhar informações essenciais e dados de suporte. Os membros do conselho procuram uma visão geral do status de cibersegurança da organização e do impacto comercial dos riscos cibernéticos. Em vez de detalhes técnicos excessivos ou métricas operacionais, você deve se concentrar nos principais pontos.
Aqui estão princípios a manter em mente ao preparar relatórios para o conselho:
Garanta que todos os dados compartilhados sejam relevantes para o contexto comercial da organização e que possam ser compreendidos pelo público.
Seja conciso! Evite fornecer informações em excesso. Elimine o jargão técnico.
Gráficos são seus amigos. Minimize o texto incluindo gráficos e visuais para transmitir seus principais pontos.
Comunique percepções sobre o que os dados significam. As métricas devem incluir análise de mudanças, tendências e padrões ao longo do tempo, mostrar desempenho relativo e indicar impacto.
Sempre lembre-se de que os relatórios a nível de conselho devem permitir discussão estratégica e diálogo entre diretores e a alta administração.
As ameaças cibernéticas são reais, e investidores, executivos e membros do conselho podem trabalhar juntos para mitigá-las.
Artigos em Destaque
Tags