5 perguntas que o CEO deveria fazer ao CISO

A maioria das reuniões entre CEO e CISO termina com o CEO tranquilo e mal informado.

O CISO apresenta dashboards verdes, percentuais de cobertura, incidentes contidos. O CEO assente. Ninguém saiu da sala sabendo se a empresa está exposta a algo que possa custar o ano. E o ciclo se repete na próxima reunião, com os mesmos slides e o mesmo silêncio confortável.

O problema raramente é o CISO. É a pergunta.

CISOs são formados para reportar ao técnico, não ao estratégico. Quando o interlocutor muda para o board, a linguagem precisa mudar junto. E isso só acontece quando o CEO faz as perguntas certas, aquelas que forçam saída do inventário técnico e entrada no território da decisão executiva.

Estas são as cinco que mudam a conversa.

1. Se um ataque paralisar nossa operação por 72 horas, qual é o impacto em caixa, contrato e cliente?

Essa pergunta força a saída do "temos backup" e a entrada em continuidade de negócio mensurada em R$. A resposta revela se a empresa sabe o que perde por dia parada, quais contratos preveem penalidade por indisponibilidade e quais clientes têm cláusula de saída em caso de incidente. Se o CISO não tem esses números, o board está decidindo risco sem unidade de medida.

2. Quais são os três cenários que, se ocorrerem, viram fato relevante ou crise de marca?

Empresas médias convivem com milhares de vulnerabilidades abertas ao mesmo tempo. Essa pergunta reduz o ruído a três decisões de conselho. Não interessa o estoque de CVEs. Interessa o que, se materializar, muda o ano da empresa. Ransomware com paralisação prolongada, vazamento de dados de clientes estratégicos, fraude executiva via BEC: cada um desses cenários tem uma probabilidade, um impacto e um dono. Ou deveria ter.

3. Onde nossa exposição cresceu mais rápido do que nossa capacidade de resposta nos últimos 12 meses?

A maioria dos relatórios de segurança mede o estoque de risco. Essa pergunta mede a velocidade da divergência. Uma empresa que cresce em superfície de ataque mais rápido do que cresce em capacidade de resposta está acumulando risco silenciosamente, mesmo que os dashboards continuem verdes. É a pergunta que ninguém faz e que mais incomoda quando respondida com honestidade.

4. Se eu precisar descrever nossa postura de segurança a um cliente estratégico ou auditor amanhã, o que digo em três frases?

Se o CISO não tem essas três frases prontas, o CEO também não tem. E o CEO é quem vai estar na sala quando o cliente perguntar. Essa questão expõe se existe ou não uma narrativa de segurança coerente para o mercado, além de verificar se o CISO consegue traduzir postura técnica em linguagem de negócio. Quando a resposta demora ou vem em forma de slides, o gap está visível.

5. Que decisão de negócio está sendo adiada porque ninguém sabe traduzir o risco técnico para o comitê?

Essa é a pergunta que muda o papel da segurança dentro da empresa. Aquisição, expansão de operação, novo produto, integração com terceiro crítico: decisões estratégicas travam quando o risco cibernético associado não tem tradução executiva. Quando a resposta a essa pergunta existe, a segurança deixa de ser centro de custo e passa a ser destravador de receita.

O que essas perguntas revelam

Nenhuma das cinco pede um relatório. Todas pedem uma posição.

A distância entre um CISO operacional e um CISO conselheiro está exatamente aqui: nas perguntas que ele consegue responder sem precisar voltar à mesa do SOC. Se o seu CISO responde as cinco com clareza e em linguagem executiva, a empresa tem um ativo estratégico no board. Se responde duas ou três com dificuldade, tem um bom gestor técnico e um conselho que ainda decide segurança no escuro.

Fazer essas perguntas na próxima reunião não exige aprovação de orçamento, não demanda novo processo e não requer mudança de stack. Exige apenas que o CEO decida ser informado, não apenas tranquilizado.

Esse é o primeiro movimento para transformar a pauta de segurança em pauta de decisão.

LeanBic Cibersegurança

www.leanbic.com.br