7 estratégias apoiadas por especialistas para reduzir a lacuna entre os conselhos e os líderes de cibersegurança
7 estratégias de especialistas para reduzir a lacuna entre conselhos e líderes de cibersegurança.
Os conselhos corporativos e os chefes de segurança da informação nunca foram bons em falar a mesma língua, mas é mais importante do que nunca para as empresas evitar cometer grandes erros de segurança de dados.
A SEC promulgou recentemente uma nova regra que exige que as empresas divulguem incidentes materiais de segurança cibernética no prazo de quatro dias após o evento e incluam detalhes sobre a estrutura da empresa para gerenciar os riscos de segurança cibernética em seus relatórios anuais. Isso significa que os conselhos estão motivados a garantir que as violações sejam raras e que uma empresa esteja gerenciando sua infraestrutura digital com as pessoas, recursos e sistemas adequados.
Então, o que os membros do conselho devem esperar de seus chefes de segurança da informação (CISOs) quando estiverem relatando os riscos cibernéticos? E como os membros do conselho devem agir em relação aos seus CISOs? A Diligent, fornecedora de software de governança, reuniu um painel de especialistas para discutir as melhores práticas de relatórios cibernéticos durante sua recente Cúpula de Governança Moderna. Aqui estão os principais pontos dessa sessão:
– Os CISOs devem pensar nas informações específicas que o conselho precisa saber. Os conselhos têm algumas responsabilidades-chave, incluindo monitorar possíveis riscos futuros para uma empresa, garantir que o capital seja alocado corretamente e supervisionar a estratégia de longo prazo de uma empresa. Os CISOs devem saber como adaptar sua apresentação às necessidades específicas do conselho. “É trabalho de todos os executivos operacionais descobrir e sintetizar o que é importante, o que os conselhos precisam saber para poderem desempenhar efetivamente suas funções”, disse a painelista Shelley Leibowitz, membro do conselho da Bitsight, uma empresa de segurança cibernética, e ex-CIO do Grupo Banco Mundial.
- Jamie Dimon diz que os americanos estão em uma euforia econômica &#...
- Agentes imobiliários salvam o dia quando os direitos dos inquilinos...
- Um casal deixou Miami e reduziu o tamanho para uma pequena casa em ...
– Nem os conselhos nem os CISOs devem assumir que nenhum risco é a quantidade certa de risco. Na verdade, um CISO que relata que uma empresa não enfrenta nenhum risco de um ataque cibernético pareceria suspeito, disse Leibowitz. Pensar sobre risco dessa forma também está totalmente errado, disse Walt Powell, CISO de campo da CDW, uma empresa de tecnologia da informação e serviços. “Se você pensar em um empreendedor, você está arriscando dinheiro para ganhar dinheiro. Esse é o objetivo de estar nos negócios”, disse ele. Uma das primeiras perguntas que os conselhos e as equipes de segurança cibernética precisam responder juntos é “Qual é a quantidade certa de risco para nós?”– Os CISOs devem criar métricas mensuráveis para o risco. A maioria das empresas compara seu desempenho com o dos concorrentes e cria “indicadores-chave de desempenho”, ou KPIs. Os CISOs podem falar a língua do conselho convertendo KPIs relacionados à cibersegurança em “indicadores-chave de risco”, ou KRIs, de acordo com Powell. “Você apenas adiciona alguma quantificação e pronto, você está pronto para começar.”
– Os conselhos devem solicitar avaliações de terceiros sobre a situação de segurança digital de uma empresa. “Como membro do conselho, suponho que todos vocês são jogadores de primeira linha fazendo seus trabalhos, e sei que vocês estão fazendo o melhor trabalho na proteção de nossa organização contra riscos e ameaças, com viés de confirmação”, disse Leibowitz, falando com CISOs hipotéticos. “Não é uma crítica, não é um julgamento de valor”, acrescentou. “Eu quero uma visão externa.”
– Os CISOs precisam saber que compartilhar o panorama geral das ameaças cibernéticas em uma reunião anual do conselho não é a melhor forma de usar o tempo do conselho. Informar os conselhos sobre o que está acontecendo no mundo da cibersegurança significa “você está contando a história errada aos conselhos”, disse Powell. Os conselhos querem saber sobre os riscos para seus negócios. Pode ser que você não esteja gastando o suficiente para reduzir o risco de uma violação cibernética ou que precise reduzir os custos de TI, acrescentou.
– Os conselhos devem avaliar se seu CISO tem uma visão completa do processo de software da empresa. “O indicador principal mais significativo de grande cibersegurança nas organizações é o quão bem eles têm todo o seu processo de produção de software sob controle”, disse Phil Venables, CISO do Google Cloud. “A porcentagem do software de uma organização que é construída e implantada em um processo repetível, rápido e de alta segurança é claramente importante para a segurança, mas também para agilidade e produtividade, confiabilidade, uma série de outras coisas”, acrescentou. Em sua experiência, muito poucas empresas estão perto de ter uma visão completa de sua produção de software em um único local, e alguns líderes de TI até questionaram se essa contabilidade é necessária. No entanto, Venables disse que se um CFO dissesse que os registros financeiros de uma empresa estavam espalhados aqui e ali pela empresa, “Você pensaria que precisa de um novo CFO.”
—Leve seu CISO para jantar. Embora não seja crucial ter um especialista em cibersegurança no conselho (a maioria dos conselhos não possui, de acordo com um novo relatório da Diligent e da empresa de capital de risco NightDragon), a educação dos diretores é essencial, disse o painel. As lições sobre cibersegurança podem acontecer em reuniões, ou os diretores podem fazer cursos, ou a aprendizagem pode ocorrer de forma informal. De fato, Venables incentiva os CISOs e os membros do conselho a planejar jantares individuais, para que os diretores possam fazer perguntas técnicas básicas sem correr o risco de parecerem ignorantes diante de seus pares.
Lila [email protected]@lilamaclellan
Observado
“Estamos entrando em um ambiente de negócios que será extremamente imprevisível nos próximos 10 ou 15 anos – devido à política, às mudanças climáticas, às mudanças nas expectativas geracionais. Para lidar com esse tipo de ambiente, você precisa ter uma visão de longo prazo. Você precisa ter algum tipo de perspectiva de longo prazo relacionada às forças e ao propósito de sua empresa, ou estará apenas mudando de ideia a cada três meses.”
—Vincent Stanley, diretor de filosofia da Patagonia na varejista, falou com a ANBLE sobre por que os conselhos devem insistir que as empresas tenham um “sentido de propósito bem estabelecido, acordado, registrado por escrito e culturalmente reconhecido” como uma “quilha” para ajudar a estabilizar o negócio. Stanley aprofunda esse tópico e o futuro do capitalismo das partes interessadas em um novo livro, O Futuro da Empresa Responsável.
Na Agenda
👓: O mais recente Índice de Diversidade de Gênero do grupo de defesa 50/50 Women on Boards constata que as mulheres ocupam 29% dos assentos em conselhos de empresas da Russell 3000, e as mulheres de cor ocupam apenas 7%. No geral, o ritmo de progresso em direção à paridade de gênero diminuiu.
📹: É possível demitir um diretor “boardzilla” sem sua cooperação? No podcast The Startup Solution, Heidi Roizen, sócia da Threshold Ventures, explica o que é tecnicamente viável e politicamente aceitável quando um membro do conselho de uma empresa privada se torna um irritante.
📖: Em um novo briefing, advogados da Skadden, Arps, Slate, Meagher & Flom explicam por que novas regras rigorosas da UE sobre divulgação de tópicos ambientais, sociais e de governança (ESG) podem levar a uma série de processos judiciais deste lado do Atlântico. “As informações detalhadas exigidas pela UE podem alimentar litígios nos EUA se as divulgações parecerem falsas ou enganosas, ou forem inconsistentes com as divulgações em outras jurisdições”, escrevem eles.
Em Resumo
— A idade de um CEO importa? É uma pergunta complicada e constrangedora de responder, mas alguns especialistas dizem que não, incluindo Jim Citrin, chefe da prática de CEO da América do Norte da Spencer Stuart. Em vez de considerar a idade de um CEO durante o planejamento sucessório, ele sugere que os conselhos analisem fatores como “paixão, nível de energia, saúde, vitalidade, adaptabilidade, motivação”.
—O CEO da Ikea diz à ANBLE que construir produtos com uma vida útil mais longa e desencorajar o consumismo excessivo é a única rota realista para alcançar as metas climáticas. Ele também explica por que a empresa global de móveis estendeu sua visão de sustentabilidade para o cardápio de alimentos, adicionando cachorros-quentes à base de plantas.
— Os conselhos em todos os setores precisam levar a governança de IA a sério o mais rápido possível. Considere isso: uma nova startup que usa bots para escrever conteúdo corporativo acaba de levantar $100 milhões.
— Lachlan Murdoch, agora o único presidente da Fox Corp, esperou um dia após seu pai Rupert Murdoch se aposentar da empresa para fazer mudanças no conselho. Tony Abbott, ex-primeiro-ministro da Austrália, e Peggy Johnson, CEO da Magic Leap, foram nomeados como novos indicados ao conselho, enquanto dois membros do conselho não se candidatarão à reeleição, incluindo Anne Dias, que expressou preocupações sobre a cobertura da Fox News ao ex-presidente Donald Trump após o levante de 6 de janeiro.
A Leitura Longa
Ao longo dos últimos anos, as empresas incentivaram os funcionários a trazerem sua verdadeira essência para o trabalho, para que ninguém sinta a necessidade de esconder sua raça, gênero, identidade LGBTQ+ ou outras características que os tornam únicos. Agora, o mesmo movimento está atraindo cada vez mais trabalhadores de diferentes religiões que escolhem ser “autênticos” no trabalho, relata o New York Times. Simran Jeet Singh, diretor executivo do Programa de Religião e Sociedade do Aspen Institute, disse ao jornal: “É quase como se fosse uma maneira para as pessoas de fé dizerem: ‘Pensem em nós também'”.
As empresas agora precisam estar preparadas para as conversas e possíveis tensões geradas por essa tendência, relata o jornal. Singh afirma que os trabalhadores “têm questões reais que eles trarão para a mesa, e você precisa estar preparado para abordá-las”.
/cloudfront-us-east-2.images.arcpublishing.com/reuters/6FNILB6MSJIWTH6QRV5Q76AASM.jpg)
