Capacitar o CFO para defender o gerenciamento de riscos cibernéticos

Experimentamos coletivamente os efeitos colaterais do conflito geopolítico disruptivo que influencia o ciclo contínuo da inflação. As economias do mundo continuarão sendo afetadas pelas consequências, mas as organizações globais têm muitas oportunidades para redirecionar e distribuir seus recursos limitados. No entanto, o único trabalho que as organizações não podem pagar é a segurança cibernética.

O CFO pode desempenhar um papel fundamental na determinação da e-saúde de uma organização, respondendo a questões importantes como:

  • Onde devemos investir?

  • Qual é o nosso retorno sobre o investimento em segurança?

  • Nossa atual cobertura de seguro eletrônico é suficiente?

  • Qual é o impacto financeiro de um possível ataque cibernético?

  • Como podemos reduzir nossos riscos na Internet?

Como um gerente financeiro pode responder a essas perguntas? Um ponto de partida é permitir que a equipe do CIO represente os riscos cibernéticos em termos e contextos que o CFO possa analisar e entender.

Até agora, isso tem sido um grande obstáculo para as equipes de segurança provarem seu valor para liderar os negócios. A necessidade de medir, gerenciar e mitigar riscos cibernéticos em um contexto de negócios nunca foi um ponto central da agenda do conselho antes.

A experiência na medição de risco financeiro torna os CFOs uma parte interessada importante na tomada de decisões informadas de segurança cibernética para aceitar, mitigar e transferir riscos.

O risco é medido há décadas em seguros e serviços financeiros e para resolver quebra-cabeças como: Qual é a probabilidade de um empréstimo ser reembolsado com base em determinados critérios predeterminados? O indivíduo reivindicará sua cobertura de acidentes? Quais riscos a empresa corre? Esse longo histórico de gerenciamento de riscos financeiros, bem como uma combinação de conhecimento e experiência, é o que torna os gerentes financeiros uma parte interessada importante nas decisões informadas de segurança cibernética que aceitam, mitigam e mudam os riscos.

Equipes convergentes para construir resiliência cibernética

As diretrizes da SEC propostas recentemente e outros padrões regulatórios sugerem manter ou aumentar os investimentos em segurança cibernética. Ao contrário de outros aspectos de outros setores de tecnologia, tem um driver externo: atores ameaçadores. Não surpreendentemente, muitos especialistas acreditam que os gastos com segurança cibernética continuarão sendo uma das principais prioridades das empresas, mesmo que os países entrem em recessão.

Como a estagnação econômica não significa qualquer encolhimento da superfície de ataque da organização, isso deixa o aspecto difícil de redirecionar recursos para o Chief Information Security Officer (CISO) e sua equipe. Embora os CISOs continuem a justificar seus investimentos, eles também precisam identificar campeões que entendam as nuances do gerenciamento de riscos.

As responsabilidades de possuir e gerenciar riscos recaem sobre duas equipes distintas. Enquanto o CEO, o CRO, o CFO e os membros do conselho possuem riscos em toda a empresa, a equipe do CISO é responsável por gerenciar os riscos de segurança cibernética em toda a empresa. Em uma era baseada na confiança digital, essas funções dos executivos do C Suite devem convergir em um nível mais profundo para garantir que a organização permaneça segura.

Avaliação de risco cibernético

Como relata o Gartner, “88% dos conselhos agora veem a segurança cibernética mais como um risco comercial do que técnico”. A medição do risco cibernético pode fornecer o menor denominador comum em todos os níveis de tomada de decisão, representando a perda de valor em dólares devido a uma violação de dados.

Os riscos da Internet existem dentro e entre a infraestrutura organizacional e outras partes móveis, incluindo pessoas, processos, tecnologia e terceiros espalhados por uma ampla superfície de ataque. O risco cibernético pode ser medido em dois níveis: um nível macro empresarial que aborda o possível impacto financeiro de um ataque de ransomware em uma empresa e um nível de ativos pequenos e de aplicativos que aborda possíveis perdas financeiras devido à conscientização cibernética dos funcionários (ou falta dela ) ou decidir investir em um produto específico de cibersegurança (ou não). ).

Se a empresa não for atacada por ransomware antes do final deste mês ou ano, ela Fazer Diga algo sobre o potencial de ataque futuro e o impacto financeiro (neste caso, economia líquida). Usando essas informações, o CISO pode traduzir os riscos cibernéticos de bits e bytes em dólares e centavos, permitindo que todas as partes interessadas relevantes:

  1. tomar decisões informadas sobre outros aspectos do negócio; Quando o risco cibernético já é contabilizado, libera o orçamento para outros requisitos regulatórios.

  2. Negocie os melhores prêmios de seguro empresarial online

  3. Entenda o verdadeiro ROI dos investimentos em segurança e opte por manter o status quo ou investir menos ou mais.

Hoje, o gerenciamento de riscos de segurança cibernética é parte integrante do gerenciamento de riscos corporativos. Seu maior desafio é como transformar riscos cibernéticos em riscos financeiros para tomadores de decisão não técnicos, com o objetivo de ajudá-los a avaliar a prioridade da segurança cibernética para garantir a continuidade dos negócios.

O improvável campeão de uma equipe de segurança cibernética durante crises será alguém com um portfólio forte que conhece e entende o impacto dos riscos – financeiros, humanos, operacionais ou cibernéticos. Vejo o CFO emergindo como uma solução essencial na roda de segurança cibernética, desde que as equipes de segurança possam alavancar a agenda do CFO com confiança na posição de risco, maior confiança do cliente, contribuições para as metas gerais de crescimento do negócio e eficiência para aproveitar ao máximo seus investimentos .

Saket Moody é CEO e cofundador da Segurança segura.

Leave a Comment

Your email address will not be published.