Sou CISO e vou reportar para o board. O que devo apresentar?

Segundo levantamento recente do Gartner, os orçamentos de TI para os CIOs brasileiros devem aumentar 6,6% no próximo ano, tendo a cibersegurança entre as três principais fontes de investimentos. Os enormes prejuízos gerados pelos ataques cibernéticos explicam bem porque a Segurança da Informação se tornou um gigantesco desafio para o negócio. Não é à toa que a participação de CISOs em boards e conselhos administrativos são cada vez mais recorrentes.

No entanto, reportar para a diretoria executiva exige cuidados, afinal, você precisa garantir que a comunicação seja clara e objetiva, traduzir as siglas e os termos técnicos para uma linguagem mais fácil e acessível, e apresentar as estratégias e os números certos. Tudo isso sendo o mais suscinto possível para ninguém perder a atenção.

Diante desse contexto, é fundamental que os executivos de segurança elaborem uma apresentação completa, com dois ou três slides –no máximo– contendo somente o que realmente importa. O que eu colocaria?

Confira as minhas sugestões abaixo:

- Qual seu nível de maturidade frente a um framework de mercado VS nível de maturidade do setor VS onde queremos chegar: a ideia é mostrar uma foto de como estamos e para onde vamos, comparando o segmento em questão.

- Nível de vulnerabilidade operacional: como não ser técnico aqui? A exposição operacional pode ser um racional feito pelas tecnologias empregadas VS as que ainda precisam ser adquiridas ou exploradas. Um exemplo: número de vulnerabilidades não corrigidas nos ativos críticos mapeados VS MTTP - Mean Time to Patch. Por que não um funil ou Pirâmide de Bird? Aqui, podem surgir dúvidas que darão a você a oportunidade de explorar o tema e chamar a atenção para o tópico. E quando falamos em ativos, é importante deixar claro que o conceito se refere a qualquer recurso de valor para a organização.

- Índice de exposição de pessoas: campanhas, on bording, palestras, phishing program, uma breve menção à Security Champions, pílulas, ações de quizz etc. Tudo isso transformado em um indicador.

- A curto prazo, que serão entregues com data, nível de criticidade, impacto (pessoas, tecnologia, processo). Esse conteúdo irá manter ou evoluir a maturidade do slide anterior.

- A longo prazo, já mapeadas e aprovadas com os mesmos critérios.

- Duas notícias relevantes sobre ciberataques: use-as para fazer um breve comentário sobre como os ataques viraram rotina, e não mais eventos pontuais.

Para um primeiro papo, entendo que esse tipo de apresentação traz boas informações que podem gerar engajamento, dúvidas, questionamentos, além de uma ótima oportunidade para uma nova sessão – e, quem sabe, uma recorrência.

Quando o seu plano começar a rodar, faça uma parceria com o time de riscos e evolua a apresentação, incluindo riscos associados aos riscos estratégicos corporativos. A partir daí, você já estará falando de uma maneira que os executivos conseguirão tangibilizar a importância do seu trabalho e poderá ter o apoio necessário para evoluir a sua estratégia de cibersegurança.

Sobre o autor: Leonel Conti é diretor de tecnologia da Redbelt Security.