O que o CISO deve apresentar em um reporte para o board?

O cenário crescentemente deflagrado do Cibercrime levou diversas lideranças corporativas de SI a terem oportunidades de diálogo com a própria gestão de negócio, permitindo-o aumentar o suporte vindo da companhia. Por isso, é essencial que esse executivo exercite as melhores formas de levar seu discurso ao board, de forma clara e eficiente

Compartilhar:

Por Leonel Conti*

Segundo levantamento recente do Gartner, os orçamentos de TI para os CIOs brasileiros devem aumentar 6,6% no próximo ano, tendo a cibersegurança entre as três principais fontes de investimentos. Os enormes prejuízos gerados pelos ataques cibernéticos explicam bem porque a Segurança da Informação se tornou um gigantesco desafio para o negócio. Não é à toa que a participação de CISOs em boards e conselhos administrativos são cada vez mais recorrentes.

 

No entanto, reportar para a diretoria executiva exige cuidados, afinal, você precisa garantir que a comunicação seja clara e objetiva, traduzir as siglas e os termos técnicos para uma linguagem mais fácil e acessível, e apresentar as estratégias e os números certos. Tudo isso sendo o mais sucinto possível para ninguém perder a atenção.

 

Diante desse contexto, é fundamental que os executivos de segurança elaborem uma apresentação completa, com dois ou três slides – no máximo – contendo somente o que realmente importa. O que eu colocaria? Confira as minhas sugestões abaixo:

 

Slide 1 – Panorama Geral

 

Qual seu nível de maturidade frente a um framework de mercado VS nível de maturidade do setor VS onde queremos chegar: a ideia é mostrar uma foto de como estamos e para onde vamos, comparando o segmento em questão.

 

Nível de vulnerabilidade operacional: como não ser técnico aqui? A exposição operacional pode ser um racional feito pelas tecnologias empregadas VS as que ainda precisam ser adquiridas ou exploradas. Um exemplo: número de vulnerabilidades não corrigidas nos ativos críticos mapeados VS MTTP – Mean Time to Patch.

 

Por que não um funil ou Pirâmide de Bird? Aqui, podem surgir dúvidas que darão a você a oportunidade de explorar o tema e chamar a atenção para o tópico. E quando falamos em ativos, é importante deixar claro que o conceito se refere a qualquer recurso de valor para a organização.

 

Índice de exposição de pessoas: campanhas, on bording, palestras, phishing program, uma breve menção à Security Champions, pílulas, ações de quizz etc. Tudo isso transformado em um indicador.

 

Slide 2 – Ações e Atividades

 

A curto prazo, que serão entregues com data, nível de criticidade, impacto (pessoas, tecnologia, processo). Esse conteúdo irá manter ou evoluir a maturidade do slide anterior.

 

A longo prazo, já mapeadas e aprovadas com os mesmos critérios.

 

Slide – 3 Casos Reais

 

Duas notícias relevantes sobre ciberataques: use-as para fazer um breve comentário sobre como os ataques viraram rotina, e não mais eventos pontuais. Para um primeiro papo, entendo que esse tipo de apresentação traz boas informações que podem gerar engajamento, dúvidas, questionamentos, além de uma ótima oportunidade para uma nova sessão – e, quem sabe, uma recorrência.

 

Quando o seu plano começar a rodar, faça uma parceria com o time de riscos e evolua a apresentação, incluindo riscos associados aos riscos estratégicos corporativos. A partir daí, você já estará falando de uma maneira que os executivos conseguirão tangibilizar a importância do seu trabalho e poderá ter o apoio necessário para evoluir a sua estratégia de cibersegurança.

 

*Leonel Conti é Diretor de tecnologia da Redbelt Security.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA
Security Report | Overview

Cenário global de cibersegurança expõe vulnerabilidades na América Latina

Relatório mostra que IA impulsiona ataques mais sofisticados e América Latina registra nível crítico de ciberameaças em 2025
Security Report | Overview

Nova cepa de malware é estudada após ataque em APIs expostas

Estudo descobr euma nova cepa de malware que tem como alvo APIs Docker expostas, com capacidades de infecção expandidas. Ele...