Entendendo a Relação entre CISOs e o Board
Um equívoco comum entre CISOs tecnicamente competentes é a crença de que o conselho de administração está realmente interessado em segurança. Na verdade, essa não é a prioridade deles, especialmente na forma como a área costuma apresentar o tema.
O board busca previsibilidade em relação aos riscos. Eles querem entender o que pode acontecer, quando e qual será o impacto. O foco está em reduzir surpresas, não em aprender sobre tecnologia. O objetivo é ter a certeza de que os riscos estão sendo monitorados, e não apenas que novas ferramentas estão sendo implementadas.
Expectativas nos Primeiros 90 Dias
Nos primeiros 90 dias, a diferença nas expectativas entre o CISO e o board pode gerar confusão e desgaste. O CISO, ao chegar, está motivado e tem um bom domínio do cenário técnico, mas muitas vezes acaba se perdendo em detalhes técnicos que não são relevantes para o board.
A apresentação pode ser tecnicamente correta, mas a conexão com o board não acontece, pois o que eles realmente buscam não é essa abordagem técnica.
O Que o Board Realmente Busca
O board não está interessado em ferramentas, mas sim em confiança. Eles querem ter a certeza de que alguém está gerenciando os riscos de forma madura e que os problemas serão antecipados, não apenas respondidos após ocorrerem.
Para o board, a segurança é um meio para alcançar um fim, e não um objetivo em si.
O Erro de Educar em vez de Interpretar
Um erro comum é tentar educar o board, explicando demais e traduzindo pouco. O CISO deve atuar como intérprete, transformando riscos em decisões, em vez de transformar decisões em aulas. A educação excessiva não gera previsibilidade.
Executivos tomam decisões com informações incompletas e esperam clareza sobre impactos e alternativas. Eles precisam de alguém que possa classificar os riscos de forma clara e objetiva.
Tradução de Risco em Decisão de Negócio
Quando o CISO não traduz os riscos em termos de negócio, acaba transferindo a responsabilidade da decisão para o board, o que pode ser desconfortável. A previsibilidade não vem da eliminação total do risco, mas da capacidade de explicá-lo em termos de negócio.
O board espera que o CISO faça essa curadoria antes que a conversa chegue à mesa, priorizando quais riscos merecem mais atenção.
Percepção do CISO pelo Board
Nos primeiros meses, o board está formando uma percepção sobre o CISO, não apenas em relação à sua técnica, mas também à sua capacidade de leitura executiva. A forma como o CISO se comunica pode influenciar essa percepção.
O board quer entender quais vulnerabilidades podem impactar a operação, e não apenas números sobre vulnerabilidades. Eles buscam indicadores de estabilidade e exposição.
Curadoria e Confiança
Menos informação, quando bem curada, pode gerar mais confiança. O CISO que filtra e prioriza informações demonstra maturidade, enquanto aquele que despeja tudo o que sabe pode transmitir ansiedade.
É importante lembrar que alinhamento não significa concordância. Se o board faz poucas perguntas e encerra rapidamente a reunião, isso pode indicar que a mensagem não foi bem recebida.
Aspecto Político e Gestão da Incerteza
O board também observa como o CISO lida com a incerteza. Segurança é uma área repleta de incertezas, e quem promete demais rapidamente perde credibilidade. Reconhecer limites e demonstrar controle é fundamental para construir confiança.
A previsibilidade não está em prometer que nada vai acontecer, mas em mostrar que, se algo ocorrer, não será uma surpresa.
Reposicionamento do CISO
Nos primeiros 90 dias, o CISO que compreende essas dinâmicas muda sua abordagem. Ele não entra para vender soluções, mas para construir uma narrativa que apresenta a segurança como um mecanismo de estabilidade.
Com o tempo, o board começa a consultar o CISO antes de tomar decisões, sinalizando que a leitura foi correta.
O Papel do CISO no Sistema de Decisão
O board não busca segurança perfeita, mas sim negócios funcionando, riscos compreendidos e decisões conscientes. O CISO que entende isso se torna parte do sistema de decisão, mudando completamente a dinâmica da segurança na organização.
Fonte por: Its Show