Embora algumas pesquisas mostrem uma alta porcentagem de relatórios para CEOs e conselhos, a pesquisa geral indica que o acesso do CISO ao conselho não é universal ou frequente.
Para combater esses desafios e encontrar os recursos necessários para adotar medidas de segurança eficazes, Clark aconselha os CISOs a “criarem uma narrativa sobre como a segurança permite o negócio, protege o negócio, apoia o produto e melhora a confiança dos investidores”.
Ele diz que os CISOs devem medir e reportar indicadores-chave sobre riscos e mostrar como essas e outras medidas de segurança se alinham e apoiam as necessidades e estratégias de negócios. Em seguida, use isso para contar a história da segurança e das áreas a serem melhoradas.
“Os líderes não querem transmitir mensagens negativas ao conselho e os CISOs não querem ser acusados de criar um desastre, por isso têm de criar e controlar a narrativa. Eles têm que aprender a explicar como fazem negócios, como proteger o produto e, em seguida, onde há áreas de preocupação, como resolvê-las e como priorizar esse trabalho”, diz Clark.
Clark trabalhou com um cliente CISO que disse ao conselho que a equipe de segurança havia identificado 98% dos sites que precisavam ser protegidos, em vez de identificar os 2% restantes, que porcentagem de sites estavam protegidos, por que isso era importante, o que era necessário para fechar a proteção. lacuna e o risco de não o fazer.
“Eles têm que dizer: ‘Aqui está o que podemos fazer com nosso orçamento atual, e se quisermos fazer outras coisas ou coisas rapidamente, aqui está o que a segurança precisará’”, disse Clark.
Essas discussões francas, acrescenta ele, são adequadas para fornecer aos CISOs os recursos necessários para implementar medidas de segurança que os ajudarão a estar alguns passos à frente do modo de reação.
