Diretores lideram a segurança perguntando as perguntas certas, através do CARE! Nas reuniões, para mapear o estado da segurança, fique atento a esses quatro fatores, com dicas de perguntas chave.

C – Consistência

A – Adequação

R – Razoabilidade

E – Efetividade

Consistência: Marca de regularidade e continuidade estável.

Quais áreas do programa foram inconsistentes entre as diferentes unidades e funções? E qual é o plano de remediação?

Quais são os relatórios que fornecem insights sobre os resultados do programa de segurança? E com que frequência eles são gerados?

Quais são os recursos de relatório e arquivamento (manutenção de registros) que demonstram a consistência do programa em horizontes de tempo mais longos?

Existem inconsistências entre as plataformas de tecnologia, tudo está atualizado e com os mecanismos padronizados?

Adequação: Suficiente para uma requisição ou necessidade específica. 

Existe alinhamento entre a equipe executiva e a liderança de tecnologia nas prioridades e investimentos necessários para alcançar a segurança adequada?

Com quem estamos nos comparando para validar se nossos controles são adequados e quais são os padrões estabelecidos?

Há testes para validar se a equipe de segurança entende o contexto dos negócios e está desenvolvendo controles que equilibram a segurança perfeita e a capacidade de executar os objetivos dos negócios?

O que os dados de segurança dos maiores riscos enfrentados pelos negócios dizem sobre os domínios importantes que afetam os resultados que o apoiam?

Razoabilidade: De acordo com a razão, sem extremos, excessos e exaustões. 

Como o processo de governança de risco e segurança é estabelecido e claramente articulado?

Qual é a qualidade e o progresso tangível que está sendo feito para melhorar os resultados de segurança?

A organização está usando avaliações externas de maturidade para validar controles razoáveis dentro de seu respectivo grupo?

Existe um equilíbrio saudável entre a entrega dos objetivos de negócios e a entrega dos controles de segurança corretos para gerenciar os riscos corporativos?

O programa de segurança está recebendo uma parcela razoável do orçamento de tecnologia de TIC?

Efetividade: Produção de um efeito desejado, decidido e decisivo.

O que os relatórios de auditoria externa destacam como as principais áreas que exigem mais foco?

Existem falhas recorrentes que podem indicar controles ineficazes?

Quais são as principais métricas que comunicam quando os resultados desejados estão sendo alcançados e quando eles falham?

Quais são as principais preocupações e riscos que os líderes de segurança têm e quais são as recomendações que eles trazem para melhorar a eficácia?

Mesmo que cada organização no mundo tenha seus riscos únicos, há muitos riscos, vulnerabilidades e exposições em comum.

Os acontecimentos que ameaçam a segurança são surpresas custosas e inevitáveis, por isso, no mundo digital, a segurança precisa ser parte integral da estratégia e não deixar para ser pensada depois. 

A rápida adoção dos usuários e a velocidade das transformações tecnológicas também exigem a habilidade de escalar e entregar a segurança e privacidade para as marcas e clientes. Por isso, é importante definir quais ameaças são críticas para a empresa e priorizar, dimensionar e planejar os riscos possíveis. 

Assim, gerir incidentes e a divulgação pública dos ataques, caso eles aconteçam, requer planejamento sério. A transparência e a manutenção da confiança com os consumidores são fatores críticos, por isso a comunicação externa é essencial nesse processo, sendo necessário processos legais ou não. 

Mais do que comunicação externa, a comunicação interna dos problemas e riscos precisa chegar até os diretores, compartilhar as notícias ruins é essencial para uma organização saudável gerenciar os próprios riscos. Por isso, não pode haver uma lacuna grande entre membros técnicos e diretores, é preciso existir um meio para as informações circularem com qualidade.