março 17, 2022

[Segurança] Sete perguntas fundamentais sobre segurança para o corpo executivo

A Dra. Keri Pearlson e o Nelson Novaes Neto, ambos pesquisadores do MIT, publicaram recentemente um artigo na revista Harvard Business Review provocando sobre quais são as perguntas mais importantes relacionadas a segurança que devem ser questionadas junto aos Boards das empresas (7 Pressing Cybersecurity Questions Boards Need to Ask).

Os gestores das empresas têm um papel fundamental em garantir a segurança frente aos riscos e ameaças de segurança. Embora os alto executivos não tratem a questão da segurança em seu dia-a-dia e não se envolvam nos detalhes operacionais, eles tem responsabilidade legal pela empresa caso ocorra algum incidente de segurança de grande impacto ao negócio ou aos clientes.

Entretanto, segundo um levantamento realizado pelos pesquisadores, apenas 68% dos executivos no board das empresas discutem o tema de ciber segurança regularmente.

O artigo inicialmente aponta 5 tópicos que os executivos devem conhecer sobre segurança, incluindo o papel que o corpo executivo deve ter frente ao planejamento e preparativos de segurança da informação. Em seguida, são apresentadas 7 perguntas que devem ser questionadas junto ao corpo executivo da empresa para garantir que eles tenham visibilidade de como a segurança cibernética está sendo gerenciada pela organização.

Aqui está uma lista de sete perguntas que a Dra Keri e o Nelson sugerem que sejam feitas para garantir que seu grupo de gestão entenda como a segurança cibernética está sendo gerenciada:
  1. Quais são nossos ativos mais importantes e como os estamos protegendo?
  2. Quais são as camadas de proteção que implementamos?
  3. Como sabemos se fomos violados? Como detectamos uma violação?
  4. Quais são nossos planos de resposta em caso de incidente?
  5. Qual é o papel do conselho em caso de incidente?
  6. Quais são nossos planos de recuperação de negócios no caso de um incidente cibernético?
  7. Nosso investimento em segurança cibernética é suficiente?
O simples fato de fazer essas perguntas e promover a discussão sobre esses assuntos também acaba por aumentar a conscientização sobre a importância da segurança cibernética e a necessidade de priorizar as ações relacionadas a sua estratégia de segurança.

É importante lembrar que o corpo executivo não conhece e nem precisa conhecer os detalhes técnicos sobre as políticas e controles existentes. Mas é fundamental que eles tenham visibilidade da postura de segurança da empresa. Essa é a "teoria do morrinho": quanto mais alto você está na montanha, melhor a sua vista do horizonte (estratégica) e menor a sua vista do que acontece no solo (a prática). Além disso, a comunicação entre os diversos níveis da organização deve ser clara e transparente, para garantir que os executivos tenham visibilidade dos riscos e medidas preventivas, e que o corpo técnico reconheça a importância estratégica que a organização dá para o tema. Na minha experiência tratando com gestores de alto escalão, eles costumam ter uma visão estratégica e superficial sobre segurança, acreditando que os times abaixo deles tomam todos os cuidados necessários - mas raramente questionando isso. Se há algum déficit na implementação de segurança, alguns executivos só saberão disso quando receberem algum resultado negativo de uma auditoria relevante ou no pior caso, após um ciber ataque com sucesso.

Provavelmente seu corpo executivo não saberá fazer ou responder a maioria dessas perguntas sugeridas pela Dra Keri e pelo Nelson. Mas é importante provocá-los, e faça esses questionamentos em suas próximas reuniões, sempre que o assunto surgir.

Veja o vídeo da palestra da Dra. Keri com o Nelson Novaes no Mind The Sec (MTS) 2022 (adicionado em 10/05/23):


Veja também (adicionado em 10/05/23): Boards Are Having the Wrong Conversations About Cybersecurity.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.