Como profissionais de segurança podem se comunicar com mais eficiência com o Board? O que funciona e o que não funciona?

Cyber Security está na cabeças dos executivos, das empresas e até das pessoas comum. É só ver o noticiário e reparar que o tema é cada vez mais explorado, temos por exemplo nas últimas semanas o vazamento de conversas entre Moro e a Força Tarefa da Lava Jato. Contudo, mesmo diante de um cenário onde as pessoas estão cada vez mais confiantes, os profissionais de segurança estão tendo dificuldades para propagar sua mensagem dentro das empresas.

Comunicar a segurança de forma clara na empresa é essencial não só para o sucesso das iniciativas de segurança mas para o próprio futuro da empresa. Isso pode determinar o sucesso ou fracasso do negócio em uma era de tecnologias, transformação digital, IoT, Inteligência Artificial e regulações como GDPR e LGPD.

De acordo com pesquisa realizada pela Isaca, o maior desafio enfrentado pelos CSO é justamente como eles comunicam as questões relacionadas com a segurança para o Board da empresa.

O primeiro ponto que prejudica a comunicação dos profissionais de segurança com o Board é o mal entendimento de que os riscos de TI são apartados dos riscos ao negócio. no cenário de hoje, a separação entre TI e Negócio praticamente não existe, já que a tecnologia é a espinha dorsal que permite a operação das empresas.

O segundo ponto é relacionado com a formatação da mensagem. A linguagem é repleta de jargões técnicos ou é simples de ser compreendida entre as outras lideranças da empresa? Ela joga luz sobre os riscos em termos compreendidos pelo Board?

Tome por exemplo a situação de quando um determinado período de downtime é requerido para que novos patches sejam aplicados. Ao invés de usar termos técnicos para descrever os riscos e ameaças relacionados com falta de patches ou patches incompletos, os profissionais de segurança devem ser mais eficientes ao descrever isso, explicando em termos de perdas para o negócio como por exemplo custo de oportunidade ou perdas advindas de um ataque bem sucedido que possa acontecer.

O terceiro ponto é: quais métricas devem ser usadas na comunicação? As empresas sempre falam em termos quantitativos já que os números sempre ajudam a pintar um quadro mais próximo da realidade. Muitas vezes os profissionais de segurança apresentam números e métricas que fazem sentido para a operação de segurança, mas não se traduzem tão bem para as outras métricas de negócio, que o restante da empresa compreende bem.

O ponto final que dificulta essa comunicação é a comum distância e falta de interação que ocorre entre os profissionais de segurança e o restante da empresa. Uma boa cultura de empresa vai integrar os profissionais de segurança e oferecer os meios adequados para que eles possam implementar as iniciativas de segurança sem o medo de serem penalizados pelas outras áreas de negócio.

Portanto, uma cultura organizacional que beneficie o relacionamento entre o Board e os profissionais de segurança é o melhor dos mundos para que esse diálogo ocorra. Esse relacionamento mais próximo vai corrigir o mal entendimento de que os riscos de TI são apartados dos riscos de negócio.