O tempo — e a atenção — do seu conselho são limitados. Mas a segurança da sua empresa, sua reputação e sua saúde financeira podem depender de quão bem os membros do seu conselho entendem os riscos comerciais que você enfrenta e como você planeja mitigá-los. Seja breve e faça com que seja relevante. Este artigo analisa os orçamentos de TI e segurança e explica como equilibrar com um perfil de segurança de risco.
5 MINUTOS. LER
É aquela hora. Você precisa relatar o estado da segurança empresarial ao seu conselho. A apresentação é fundamental: a segurança da sua empresa, sua reputação e sua saúde financeira dependem de você. Os membros do seu conselho precisam entender os riscos comerciais que você enfrenta e como você planeja mitigá-los. Mas seu tempo — e atenção — são limitados. Seja breve e faça com que seja relevante.
Siga estes seis passos para atingir seus objetivos.
Eles ouviram os números. Cerca de US$ 575 bilhões são perdidos anualmente em crimes cibernéticos. Violações de dados podem custar mais de US$ 400 milhões. Informações como essas caem em ouvidos moucos. Os membros do conselho estão insensíveis. Mas eles precisam entender os riscos gerais de fazer negócios on-line — que são endêmicos — em comparação com as ameaças que seu setor e seu negócio especificamente enfrentam. Se o maior risco da sua organização está relacionado à falta de controles ou processos inadequados, eles precisam saber disso. Mais importante ainda, eles precisam saber o que você está fazendo a respeito. Não vá ao conselho com problemas para os quais você ainda não descobriu soluções.
Se você não está recebendo o apoio de que precisa, pense em sua própria reputação e carreira.
Conte uma história convincente sobre uma violação de segurança, de preferência no seu setor. Dê exemplos da sua própria empresa. Identifique ativos de informação críticos — propriedade intelectual, dados confidenciais de clientes — e descreva o que aconteceria e quanto custaria se eles fossem comprometidos.
Se você tiver lacunas no controle de segurança que esteja com dificuldade para obter recursos para corrigir, forneça evidências que comprovem que você está continuamente sob ataque e que suas redes são constantemente sondadas. Deixe claro que, mais cedo ou mais tarde, os bandidos terão sucesso. Eduque-os. Surpreenda-os.
Erros humanos são responsáveis por 58% das violações cibernéticas. Um negócio seguro é aquele em que todos são informados sobre ameaças e fazem a sua parte para reduzir riscos. Isso começa com treinamento rigoroso — e repetido — e talvez até mesmo comprometimento com um padrão como a ISO 27001 .
Incentive o conselho a encarar os fatos: todas as organizações hoje enfrentam a possibilidade muito real de serem violadas. O dano que você sofrerá dependerá da rapidez e eficácia com que você responder, então por que não se preparar? A maioria das empresas não tem as habilidades para uma resposta eficaz a incidentes (IR). Você precisa de suporte técnico, forense, jurídico e de relações públicas para superar o trauma. Sua melhor aposta: um terceiro com conhecimento especializado. Uma boa empresa de RI estará ao seu lado.
O seguro cibernético é parte integrante da sua estratégia de segurança. No entanto, apenas 19% das empresas têm seguro cibernético . E a maioria está gravemente sub-assegurada, com apenas 12% dos custos totais de uma violação típica cobertos. O seguro cibernético é o seguro que mais cresce no mundo, com projeção de aumento de 300% em prêmios anuais, dos atuais US$ 2,5 bilhões, até 2020. Faça as contas para o seu conselho. Calcule quanto sua empresa pode absorver de uma violação sem uma catástrofe financeira. Escolha um nível de risco com o qual você se sinta confortável e assegure o restante.
Você fez sua lição de casa e já garantiu fundos para alguns de seus esforços. Se você tem áreas de risco que precisam ser abordadas e não tem orçamento para isso, os membros do conselho precisam saber disso e aceitar o risco ou defender uma solução. Não há melhor maneira de realizar algo do que dizer que “o conselho” solicitou que fosse feito.
Ao fazer este exercício, seja um pouco egoísta. Se você não está recebendo o apoio necessário para se defender contra ameaças existenciais, pense em sua própria reputação e carreira. Se o seu conselho não entender, talvez seja hora de você considerar suas opções.
É muito importante.
Setenta e três por cento das empresas sofreram pelo menos uma violação de segurança no ano passado.
Ryan Kearny foi nomeado vice-presidente executivo de desenvolvimento de produtos e diretor de tecnologia da F5 Networks em outubro de 2016. Ele é responsável por supervisionar o roteiro de tecnologia da empresa e liderar a equipe de engenharia da F5. Kearny ingressou na empresa em 1998 e foi nomeado vice-presidente de desenvolvimento de produtos em maio de 2004 e vice-presidente sênior de desenvolvimento de produtos em janeiro de 2012. Ele é bacharel em Engenharia Elétrica pela Universidade de Washington.