Sentei em dezenas de reuniões de board como advisor de segurança. O padrão é sempre o mesmo: o CISO apresenta dashboards com vulnerabilidades fechadas, patches aplicados, firewalls ativos. O board acena. Ninguém pergunta nada relevante.
Isso é governança de aparência. Veja o que um board maduro deveria perguntar:
1. "Qual é nossa exposição financeira a um incidente hoje?"
Não "estamos seguros?" — essa pergunta não tem resposta útil. A pergunta certa quantifica risco em R$, conecta a decisões de seguro, M&A e alocação de capital.
2. "Quanto tempo para detectar um atacante que já está dentro?"
MTTD (Mean Time to Detect) é a métrica que separa organizações maduras das vulneráveis. Média global: 207 dias (IBM Cost of Data Breach 2024). Se seu CISO não sabe esse número para sua organização, há um problema.
3. "Quais são os três cenários de incidente que mais nos preocupam?"
Força o CISO a pensar em termos de impacto de negócio, não de controles técnicos. As respostas revelam se o programa de segurança está alinhado com os riscos reais da organização.
4. "Nossa cadeia de fornecedores é auditada?"
70% dos ataques modernos entram por terceiros (supply chain). Perguntar sobre isso posiciona o board como participante ativo, não observador.
5. "O que precisaríamos para responder a um incidente amanhã?"
Plano de resposta a incidentes existe? Foi testado? Quem tem autoridade para acionar? Qual é o protocolo de comunicação com ANPD em 72h?
Boards que fazem essas perguntas consistentemente criam CISOs melhores — porque exigem clareza, não relatórios de vaidade.