Field notes

Como Levar os Executivos a Preocuparem-se com o Risco

Como fazer com que os executivos se preocupem genuinamente com o risco; e ajam em conformidade.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de leitura
How to Get Executives to Care About Risk

Os executivos não ignoram o risco por descuido.Ignoram-no porque é habitualmente apresentado de uma forma que não faz sentido para eles.Se quiser que os líderes se preocupem com o assunto, tem de mudar a forma como fala, não o volume a que fala.

A maioria das discussões sobre risco falha antes de começar.You walk into a room with a heatmap, a few “High/Medium/Low” boxes, and a vocabulary that sounds like it was invented by auditors on a rainy afternoon.Os executivos desligam-se de imediato; não porque não se importem, mas porque não conseguem ligar a sua mensagem à realidade deles.

Verdade do terreno:Executives don’t care about “risks.”Preocupam-se com dinheiro, reputação, operações, crescimento, clientes e responsabilidade legal.

Se não conseguir ligar o risco a um destes elementos, vai perdê-los todas as vezes.

Vejamos o que funciona de facto no terreno.

1. Traduza o Risco para a Linguagem do Negócio, Não para Jargão Técnico

If your sentence contains the words “threat actor,” “likelihood,” or “control deficiency,” you’ve already lost half the room.Os executivos não pensam em controlos; pensam em consequências.

Anedota:Numa reunião de Conselho, substituí uma explicação de risco em 6 diapositivos por uma única frase:“If this happens, our customers will be offline for 72 hours, and we lose 2.1M in revenue.”O CFO inclinou-se para a frente de imediato. Conversa desbloqueada.

Os executivos respondem a:

  • exposição financeira
  • impacto da indisponibilidade
  • consequências legais ou regulatórias
  • confiança dos clientes
  • bloqueadores estratégicos

Não a frameworks. Não a cores num heatmap.

2. Pare de Falar em Probabilidade; fale em exposição

A maioria das matrizes de risco é ficção. Toda a gente sabe, ninguém o diz.

Os executivos não querem que preveja o futuro.Querem que mostre o que acontece se o futuro correr mal.

Exemplo:Instead of “Medium likelihood, High impact,” say:“If this issue hits at the wrong moment, we lose three critical business systems for hours, possibly days.”

Os executivos preocupam-se com a fragilidade, não com especulações.Mostre-lhes onde a organização está exposta; e o que essa exposição bloqueia.

3. Comece pela Decisão que Precisa Deles

Os executivos não querem 20 minutos de contexto introdutório.Querem saber qual é a decisão que lhes está a pedir.

Comece cada discussão com:“Here is the decision we need today, and here is why it matters.”

Exemplo do terreno:Durante uma revisão de roadmap, em vez de apresentar 12 diapositivos, abri com:“We have two options. Option A: patch now, minor downtime. Option B: wait, risk of full outage. We recommend A. Here is the short context.”A reunião terminou em 8 minutos, com alinhamento.

Os executivos envolvem-se quando reduz a carga cognitiva deles, não quando os afoga em detalhe.

4. Use Números; mas apenas os certos

Alguns consultores pensam que precisam de mostrar uma folha de cálculo para ganhar credibilidade.Errado. Bastam 3 a 4 números com impacto real.

Concentre-se nos números que importam:

  • custo da indisponibilidade
  • custo da inação
  • custo da mitigação
  • coimas regulatórias
  • comparative cost (“This costs less than one month of outage”)

Os executivos adoram números.Simplesmente detestam os irrelevantes.

5. Crie Visuais com Significado

Os executivos não precisam de diapositivos bonitos.Precisam de clareza.

A maioria dos visuais de risco é sobrecarregada, críptica ou meramente decorativa.Substitua-os por algo que conte uma história de imediato.

Três visuais que funcionam sempre:

  1. Uma barra simples a mostrar a exposição financeira
  2. A timeline showing “current state → risk event → consequence”
  3. Um cenário antes/depois com comparação de custos

Um bom visual não explica um risco; faz a sala sentir esse risco.

6. Ligue os Riscos à Responsabilidade Pessoal de Cada Um

Os executivos agem quando o risco passa a ser deles risk, not “the CISO’s risk.”

Se quiser que a liderança se preocupe, mostre como o risco toca o domínio de cada um:

  • CFO → exposição financeira, seguros, coimas
  • COO → indisponibilidade operacional
  • CEO → danos à marca, perda de clientes
  • CMO → perda de alcance ou das operações de marketing
  • CHRO → cenários de ameaça interna, questões de pessoal

Exemplo:During a ransomware table-top, the CEO asked, “Why is this my problem and not yours?”We answered, “Because you’re legally responsible for declaring bankruptcy if operations can’t resume.”Nunca mais faltou a uma reunião de risco.

Quando o risco passa a ser uma responsabilidade de liderança, deixa de ser um problema de cibersegurança.

7. Mostre o Caminho, Não o Problema

Os executivos não temem os riscos; temem a incerteza.

Um risco sem solução parece um buraco negro.Um risco com um plano claro parece gerível.

Por isso, toda a apresentação de risco deve incluir:

  • a exposição
  • o que recomendamos
  • o esforço necessário
  • o custo
  • o calendário
  • a melhoria esperada

Os executivos não agem por medo.Agem por clareza.

8. Use a Narrativa para Tornar o Risco Pessoal

Os executivos recordam-se mais de exemplos do que de explicações.

O segredo é usar histórias pequenas, precisas e identificáveis; não fantasias de catástrofe dramática.

Exemplo:Instead of “A breach could occur,” say:“Last month, a competitor of your size had to call all customers to explain why their portal was offline for three days. They lost two contracts. The trigger was the same weakness we flagged last quarter.”

Os executivos não se identificam com cenários abstratos.Identificam-se com histórias que parecem ser sobre a empresa deles.

Reflexão Final

Fazer com que os executivos se preocupem com o risco não passa por assustá-los.Passa por tornar os riscos reais, concretos e ligados ao negócio pelo qual são responsáveis.

Pare de tentar impressioná-los com frameworks.Ajude-os a tomar boas decisões com clareza, relevância e coragem.

Quando os executivos finalmente veem o risco pela sua própria perspetiva, e não pela sua, tudo muda.

Se quiser dominar a arte de transformar risco em decisões, e não em PowerPoints, é exatamente isso que ensinamos no Cyber Academy Risk Leadership Program.Junte-se à próxima sessão e aprenda a falar a única linguagem que os executivos realmente valorizam.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.