Já se passaram oito anos e meio desde que escrevi pela primeira vez sobre a necessidade de representação da liderança de segurança na sala de reuniões. Em seguida, revisitei o tópico no ano passado, quando a SEC inicialmente propôs alterações em suas regras para aprimorar e padronizar as divulgações relacionadas ao gerenciamento de riscos de segurança cibernética, estratégia, governança e relatórios de incidentes.
Agora, com a entrada em vigor das regras de divulgação de incidentes cibernéticos da SEC, as organizações finalmente serão forçadas a considerar seriamente dar aos líderes de segurança um lugar à mesa. É o próximo passo lógico para poder cumprir os requisitos de divulgação e supervisão conforme detalham as novas diretrizes.
Os pontos positivos do envolvimento da SEC
O feedback dos profissionais do setor destaca os prós e contras das novas regras da SEC. Mas como as novas regras são inevitáveis e os relatórios de divulgação devem começar em dezembro de 2023, chegou a hora de focar nos pontos positivos para o setor que a SEC está entrando.
Ter alguma padronização de terminologia, por exemplo, a definição de um incidente e o que é material e, portanto, digno de divulgação, permitirá que a liderança executiva se concentre exatamente no que é necessário na sala de reuniões. Isso deve evitar que as organizações tenham ciclos de gastos que estabeleçam suas próprias políticas, procedimentos e práticas de relatórios. O outro ponto positivo é que a iniciativa provavelmente impulsionará investimentos em tecnologia de segurança, o que é bom para profissionais e organizações de segurança, pois estarão mais protegidos.
As implicações para a composição do conselho
Ao mesmo tempo, as diretrizes afirmam claramente que as organizações serão obrigadas a “descrever a supervisão do conselho de administração ou os riscos de ameaças à segurança cibernética e o papel e experiência da administração na avaliação e gerenciamento de riscos materiais de ameaças cibernéticas”. Isso é incrivelmente difícil de fazer devido à escassez de especialistas em segurança nas placas. Brian Krebs atualizado recentemente pesquisar ele fez em 2018 das empresas da Fortune 100 que listam um CSO ou CISO em cargos de liderança executiva em seus sites. Na época, apenas cinco empresas da Fortune 100 o fizeram. Usando a última lista disponível (2022), ele descobriu que ainda restavam apenas cinco! Organizações incluindo IANS e Heidrick e as lutas realizaram estudos próprios que também revelam que os líderes de segurança têm pouca representação nos níveis executivos.
Todos sabemos que a maioria das empresas emprega hoje em dia um CISO ou CSO e que a segurança cibernética é um tema na agenda do conselho. Mas se esse indivíduo não estiver ativamente sentado no conselho, com que confiança essa empresa pode afirmar que possui recursos de supervisão de riscos cibernéticos e experiência em gerenciamento na sala do conselho?
Um ganha-ganha tangível
Há também uma dinâmica interessante em jogo da perspectiva do CISO. Segurança do Sal Estado do CISO 2023 O relatório constatou que no topo da lista de desafios pessoais que os CISOs enfrentam estão as preocupações de que uma violação de segurança em sua organização possa resultar em litígios e responsabilidades pessoais. O medo é tão grande que alguns CISOs estão optando por funções abaixo do nível CISO ou solicitando indenização. Dados os procedimentos legais contra o CISO da SolarWinds e o ex-CSO da Uber, essa reação não surpreende e aumentará as preocupações.
No entanto, em um momento em que as organizações precisam de seus CISOs experientes mais do que nunca, a decisão da SEC pode ajudar a transformar esse desafio em uma oportunidade. A liderança executiva pode conter a onda de CISOs que procuram reduzir seu próprio risco pessoal, oferecendo um assento no conselho que estende o seguro de diretores e executivos a eles e ajuda a aliviar algumas de suas preocupações legais. A elevação dos CISOs ao conselho também demonstra, em termos inequívocos, que o conselho está priorizando a segurança cibernética. Convites para apresentações ao conselho em horários selecionados e análises de investimentos apenas durante a temporada orçamentária se tornarão coisas do passado. O cenário está montado para a avaliação colaborativa das pessoas, processos e tecnologias existentes para proteger os negócios e para a revisão contínua do cenário dinâmico de ameaças e dos investimentos necessários para mitigar os riscos.
O envolvimento da SEC é o catalisador que precisamos para obter representação de segurança na sala de reuniões – finalmente! Como profissionais de segurança, devemos dar as boas-vindas à oportunidade, pois significa que a responsabilidade de proteger os negócios é finalmente reconhecida como um facilitador essencial da estratégia de negócios e tratada como tal.
