A cibersegurança é um assunto importante. Por isso, a supervisão por parte do conselho é fundamental para uma mitigação eficaz. No entanto, de acordo com um recente inquérito, da National Association of Corporate Directors (NACD), menos de 15% dos administradores manifestam elevada satisfação com a forma como a gestão apresenta as informações sobre cibersegurança. Aqui estão algumas dicas para melhorar as discussões ao nível do conselho sobre cibersegurança.

O que o seu conselho precisa

Os conselhos oferecem supervisão estratégica, enquanto a gestão trata da execução, incluindo a gestão do risco cibernético. Independentemente do setor, das regulamentações ou da presença geográfica, os conselhos procuram geralmente junto da gestão uma tradução dos detalhes técnicos em termos de negócio — destacando riscos, oportunidades e implicações estratégicas.

Aqui estão perguntas que os membros do conselho devem fazer aos CISOs (e as perguntas que os CISOs devem ser capazes de responder claramente):

1. Qual é o nosso apetite ao risco cibernético?

2. Quais são as métricas mais importantes que usamos para monitorizar e avaliar o risco para a empresa?

3. Qual é a proposta de valor da cibersegurança? Por outras palavras, como é que a cibersegurança pode potenciar outras funções de negócio em toda a organização?

4. Quais são os níveis de risco interno e externo?

5. Como medimos a eficácia do programa de cibersegurança da nossa organização e como ele se compara ao de outras empresas? Por exemplo, como acompanhamos a sensibilização para a cibersegurança em toda a organização através de indicadores como conformidade com políticas, implementação e conclusão de programas de formação?

6. Como avaliamos a posição de risco cibernético dos nossos fornecedores, vendedores, parceiros de joint venture e clientes?

7. Que parte do nosso orçamento de TI é gasta em atividades relacionadas com a cibersegurança? Como é que esta afetação se compara à dos nossos concorrentes ou a outros referenciais externos?

8. Quantos incidentes de dados a organização enfrentou no último período de reporte? Indo aos detalhes, quais são as tendências, padrões e causas-raiz críticas?

9. Qual é a abrangência e a profundidade das atividades de monitorização operacional de cibersegurança da empresa? Há áreas que não estamos a monitorizar e, em caso afirmativo, porquê?

Como apresentar métricas ao nível do conselho

Depois de identificar o que o seu conselho precisa de saber sobre cibersegurança, é altura de partilhar informações essenciais e dados de suporte. Os membros do conselho procuram uma visão geral do estado da cibersegurança da organização e do impacto comercial dos riscos cibernéticos. Em vez de detalhes técnicos excessivos ou métricas operacionais, deve concentrar-se nas principais conclusões.

Aqui estão princípios a ter em conta quando prepara relatórios para o conselho:

1. Certifique-se de que quaisquer dados que partilha são relevantes para o contexto de negócio da organização e de que os dados podem ser compreendidos pelo público-alvo.

2. Seja conciso! Evite fornecer demasiada informação. Elimine o jargão técnico.

3. Os gráficos são seus amigos. Minimize o texto incluindo elementos gráficos e visuais para transmitir os seus pontos-chave.

4. Comunique informações sobre o que os dados significam. As métricas devem incluir análise de alterações, tendências e padrões ao longo do tempo, mostrar o desempenho relativo e indicar o impacto.

5. Lembre-se sempre de que os relatórios ao nível do conselho devem permitir discussão estratégica e diálogo entre administradores e a direção de topo.

As ameaças cibernéticas são reais, e investidores, executivos e membros do conselho podem trabalhar em conjunto para as mitigar.