“Acabou o tempo de falar de FUD (medo, incerteza, dúvida), aquela conversa imatura. Tem que ser algo mais complexo e os CISOs têm que assumir riscos de negócios”, disse De Lude ao CSO. “É preciso saber organizar uma conversa para os outros, falar sobre coisas que eles gostam na língua deles e ter os detalhes certos, esses são os ingredientes de uma boa história.”
O que os CISOs precisam considerar para contar a história de risco correta
Um dos truques que De Lude usa é recorrer a notícias relevantes para o público em suas conversas perigosas. Ajuda a juntar os pontos ao mesmo tempo que demonstra a importância de um plano de segurança e a necessidade de evitar ser notícia. “Eu enquadro isso com base naquilo que os preocupa, então, se eles concordarem, é o risco do produto ou o risco regulatório, e falo sobre as implicações e o que estamos fazendo para reduzir esse risco por meio do sistema de segurança. “, disse ele.
No entanto, existem desafios na adoção da linguagem certa. O termo risco é limitado e pode limitar a conversa, segundo Alexander Hughes, diretor de segurança cibernética e conformidade da Visa. Para resolver isto, ele propõe medir o risco em termos de perda ou danos de ativos – desempenho ou valor reduzido devido a um ataque – o que é fácil de entender no contexto da segurança cibernética. “Se podemos falar de riscos como custos, existe uma linguagem mais flexível, como perda de rendimentos. Portanto, se o serviço for atacado e não funcionar, esse ativo será rebaixado ou danificado e a receita será perdida”, afirmou.
