Bagaimana CISO Dapat Berkomunikasi dengan Dewannya Secara Efektif

KOMENTAR

Peran kepala petugas keamanan informasi (CISO) saat ini adalah bukan peran CISO di masa lalu. Lanskap ancaman yang terus berkembang, seperti adopsi teknologi baru AI generatif (GenAI), peningkatan kecepatan peraturan, program pendidikan dan pelatihan karyawan yang berkelanjutan, dan menjaga ketahanan operasional telah membuat CISO berada di bawah tekanan dan tekanan yang semakin besar. Selain itu, 49% CISO Sekarang melapor ke dewan mereka setidaknya setiap minggu, memberikan mereka keterampilan baru yang perlu mereka kuasai: seni komunikasi.

Secara historis, dukungan dewan direksi hanya meningkat setelah terjadinya serangan siber, sehingga CISO lebih berperan reaktif dibandingkan proaktif. Namun dengan meningkatnya visibilitas pelanggaran, kegagalan produk, dan konsekuensi hukum yang disebarkan oleh media saat ini, terdapat gambaran kecil mengenai praktik keamanan siber di setiap organisasi. Dewan kini tertarik untuk memahami status keamanan organisasi mereka dan keputusan keamanan yang dibuat di tingkat tertinggi. Peningkatan keinginan ini membutuhkan keterlibatan yang lebih luas dengan dewanyang juga meningkatkan posisi dan visibilitas CISO dalam perusahaan.

CISO hari ini melaporkan kepada dewan mengenai topik-topik yang mencakup manajemen risiko keamanan siber, rencana penilaian dan mitigasi, tinjauan strategis tingkat tinggi, perencanaan dan penyelarasan, serta kepatuhan terhadap peraturan dan hasil audit. Informasi ini membantu dewan direksi memahami kesiapan dan posisi organisasi secara keseluruhan sehubungan dengan panduan dan ancaman peraturan terbaru, serta perencanaan masa depan dan penyelarasan dengan strategi bisnis secara keseluruhan.

Meskipun CISO setuju bahwa keterlibatan dewan direksi membantu mendorong perubahan positif dalam strategi keamanan siber mereka, hambatan komunikasi dan pengetahuan masih ada. Berbicara dalam bahasa bisnis adalah keterampilan yang masih perlu dikembangkan oleh banyak CISO agar dapat menyelaraskan diri dengan dewan direksi mereka dan berhasil mendapatkan anggaran dan sumber daya tambahan untuk program mereka.

Berikut adalah beberapa tip yang perlu diingat oleh CISO ketika melapor ke dewan mereka, dan tips yang saya temukan berhasil:

1. Persiapan Adalah Kuncinya

Hadiri pertemuan-pertemuan ini dengan persiapan dan pemahaman tingkat tinggi, serta angka-angka yang jelas. Berkolaborasilah dengan C-suite Anda sebelumnya dan pastikan keselarasan strategi tertentu — ini akan membantu memposisikan inisiatif Anda bersamaan dengan inovasi.

2. Temukan Sekutu

Cobalah untuk mendapatkan simpati dari para dewan terlebih dahulu — seseorang yang ingin mempelajari lebih lanjut dan memahami keamanan siber dengan lebih baik. Jalankan presentasi Anda terlebih dahulu untuk memastikan Anda menyampaikan tingkat konten yang tepat.

3. Lebih Sedikit Lebih Banyak

Dek harus dimulai dengan ikhtisar tingkat tinggi. Pahamilah bahwa masih banyak lagi yang ingin Anda sampaikan, namun dewan direksi hanya akan menerima sebanyak itu. Ringkaslah hal-hal yang kurang penting sehingga Anda dapat mengalihkan perhatian mereka ke hal-hal yang benar-benar penting. Tempelkan semua item yang tidak penting dalam lampiran.

4. Tetap pada Topik

Bagikan salinan presentasi Anda kepada setiap anggota dewan sebelum Anda melakukan presentasi — dan hindari membaca slide Anda. Slide pada akhirnya menjadi tambahan pada diskusi yang terjadi di dalam ruangan — namun penting bagi Anda untuk meneruskan setiap diskusi secara ringkas untuk memastikan ada cukup waktu untuk membahas topik yang paling penting.

5. Selaraskan Tujuan Keamanan Siber Anda dengan Tujuan Bisnis

Selaraskan inisiatif Anda dengan tujuan bisnis dan rangkakan inisiatif tersebut dalam nilai bisnis — memungkinkan pertumbuhan, melindungi reputasi merek, dan mencegah kerugian finansial. Banyak, jika tidak semua, anggota dewan tidak memiliki keahlian keamanan siber atau latar belakang teknis seperti Anda, dan mereka tidak memahami jargon teknologinya. Tingkatkan pesan Anda dan selaraskan dengan sasaran bisnis utama. Ini bukan tentang apa yang Anda perlukan untuk menjalankan departemen; ini tentang apa yang mereka butuhkan untuk menjalankan bisnis.

6. Berkomunikasi dalam Hal Resiko

Menyelaraskan dengan tujuan bisnis dan mengomunikasikan risiko dalam hal keuangan akan membantu Anda menjembatani kesenjangan pengetahuan dan selanjutnya memposisikan Anda sebagai pihak yang berharga. Orang-orang memahami angka – fokuslah pada angka yang mempunyai dampak. Program Anda adalah sebuah investasi — jadi apa hasilnya? Apakah ada area yang membutuhkan lebih banyak investasi – atau lebih sedikit?

7. Sertakan Wawasan Industri

Sertakan wawasan tentang sesuatu yang sedang atau baru-baru ini terjadi di perusahaan lain di industri Anda dan apa pengaruhnya bagi Anda. Jika hal yang sama terjadi pada Anda, apakah dampaknya akan signifikan? Itulah pertanyaan yang perlu Anda jawab. Fokus pada ketahanan bisnis dan operasional, serta kesiapan komunikasi krisis.

Dengan meningkatnya frekuensi pelaporan dewan, CISO perlu memastikan interaksi mereka singkat, produktif, dan bernilai. CISO yang akan berhasil dalam perluasan peran ini adalah mereka yang mampu berkembang melampaui kecerdasan teknis untuk mengadopsi lensa yang lebih berfokus pada bisnis dan menguasai seni bercerita.