Segurança da informação nas empresas é um tema desafiador e testado diariamente, deixando os CISO’s (sigla em inglês para Chief Information Security Officer) de cabelo em pé. Não é para menos, pois a cada dia essa função acumula mais responsabilidades e pressão. Dentre todas as atribuições podemos ressaltar: Interlocução executiva e alinhamento de Segurança da […]
Segurança da informação nas empresas é um tema desafiador e testado diariamente, deixando os CISO’s (sigla em inglês para Chief Information Security Officer) de cabelo em pé. Não é para menos, pois a cada dia essa função acumula mais responsabilidades e pressão. Dentre todas as atribuições podemos ressaltar:
Além de interagir por toda a espinha dorsal de uma organização, os CISO’s também interagem com entidades externas, como auditoria e muitas vezes com o público (que podem ser clientes da organização). Ou seja, a cobrança vem de todos os lados!
Por isso, uma poderosa ferramenta a favor dos CISO’s são os Indicadores (“KPI: Key Performance Indicator”), os quais auxiliam no entendimento do cenário real e na observação de evolução. Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade, que “Quem não mede não gerencia. Quem não gerencia não melhora”.
Indicadores como ferramenta de sucesso e pertencendo ao cotidiano de maneira saudável.
É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada à alguma ação que não foi iniciada e/ou mesmo algum controle que até aquele momento não existe na organização.
Neste momento, é preciso segurar a ansiedade. Esse “zero” pode até perdurar por algum tempo, mas é importante que ele apareça, pois quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar nova rota.
O nível de conhecimento dos CISO’s normalmente é muito alto. Pois eles sabem de maneira clara, o que é preciso fazer e onde a organização precisa chegar em termos de Segurança da Informação. No entanto, de início, não adianta estabelecerem 100 indicadores, por exemplo, e não cumprirem nenhum.
O CISO é o maestro da Segurança da Informação dentro de uma organização e apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar, por exemplo, 15 minutos semanais para que a equipe apresente os indicadores e se comprometa em obter e manter os dados atualizados, transformando isso em um hábito.
Com base em indicadores, fica tangível e fácil para mapear a evolução versus as metas. Por isso, é muito importante que nestes “15 minutos semanais” sejam apresentados os indicadores da última semana, mas também os das últimas 4 semanas, seguidos pela evolução mensal, trimestral etc. Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares, além de poder traçar linha de tendência, ferramenta muito importante para avaliarem às evoluções além de permitir que o CISO tenha a tomada de decisão mais segura e assertiva.
Agora, o nosso maestro, o CISO, tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva, com maestria, além dos subsídios para demonstrar o roadmap e resultados para a organização.
Todo início de uma jornada tende a ser desafiadora e, como descrevi anteriormente, o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso do dia a dia para trabalhar um ciclo virtuoso.
*Por Fernando Oliveira, fundador e CTO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos.
