CISO's: 5 Lições para você ter sucesso com os seus Indicadores (KPI's)
Imagem: pixabay.com_CC0 Creative Commons
Por Fernando Oliveria*
Segurança da Informação nas empresas é um tema desafiador e testado diariamente, deixando os CISO's (sigla em inglês para Chief Information Security Officer) de cabelo em pé. Não é para menos, pois a cada dia essa função acumula mais responsabilidades e pressão. Dentre todas as atribuições podemos ressaltar:
- Interlocução executiva e alinhamento de Segurança da Informação ao planejamento estratégico da organização;
- Garantir que as equipes tenham ferramentas e acessos às informações para responder aos pontos de auditoria, sendo eles internos e externos;
- Organizar o planejamento de Segurança da Informação, estruturando um Roadmap de ações versus riscos já encontrados;
- Constantemente, avaliar toda a organização em busca de ameaças não mapeadas até o momento;
- Responder públicamente sobre incidentes que venham a ocorrer.
Além de interagir por toda a espinha dorsal de uma organização, os CISO's também interagem com entidades externas, como auditoria e muitas vezes com o público (que podem ser clientes da organização). Ou seja, a cobrança vem de todos os lados!
Por isso, uma poderosa ferramenta a favor dos CISO's são os Indicadores ("KPI: Key Performance Indicator"), os quais auxiliam no entendimento do cenário real e na observação de evolução. Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade, que “Quem não mede não gerencia. Quem não gerencia não melhora".
Como se preparar e ter sucesso na implementação de KPI's?
Indicadores como ferramenta de sucesso e pertencendo ao cotidiano de maneira saudável.
Primeira Lição: Vamos vestir as sandálias da humildade: “In a dark place we find ourselves, and a little more knowledge lights our way.”
É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada à alguma ação que não foi iniciada e/ou mesmo algum controle que até aquele momento não existe na organização.
Neste momento, é preciso segurar a ansiedade. Esse “zero” pode até perdurar por algum tempo, mas é importante que ele apareça, pois quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar nova rota.
Segunda Lição: Quem tudo quer, nada tem. “Patience you must have my young padawan”.
O nível de conhecimento dos CISO's normalmente é muito alto. Pois eles sabem de maneira clara, o que é preciso fazer e onde a organização precisa chegar em termos de Segurança da Informação. No entanto, de início, não adianta estabelecerem 100 indicadores, por exemplo, e não cumprirem nenhum.
Terceira Lição: Disciplina é a a chave para mudança de hábito e cultura: “If once you start down the dark path, forever will it dominate your destiny, consume you it will."
O CISO é o maestro da Segurança da Informação dentro de uma organização e apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar, por exemplo, 15 minutos semanais para que a equipe apresente os indicadores e se comprometa em obter e manter os dados atualizados, transformando isso em um hábito.
Quarta Lição: Governar com base em indicadores: "May the KPI's be with you."
Com base em indicadores, fica tangível e fácil para mapear a evolução versus as metas. Por isso, é muito importante que nestes “15 minutos semanais” sejam apresentados os indicadores da última semana, mas também os das últimas 4 semanas, seguidos pela evolução mensal, trimestral etc. Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares, além de poder traçar linha de tendência, ferramenta muito importante para avaliarem às evoluções além de permitir que o CISO tenha a tomada de decisão mais segura e assertiva.
Quinta Lição: A informação certa, no tempo correto: "Always pass on what you have learned.”
Agora, o nosso maestro, o CISO, tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva, com maestria, além dos subsídios para demonstrar o roadmap e resultados para a organização.
Todo início de uma jornada tende a ser desafiadora e, como descrevi anteriormente, o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso do dia a dia para trabalhar um ciclo virtuoso.
*Fernando Oliveira é Fundador e CTO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos.
SEC4YOU
Fundada em 2009, a SEC4YOU é uma empresa 100% brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos. A PAIXÃO pelo que faz e o COMPROMISSO com resultados é o que faz da SEC4YOU uma das principais empresas do ramo no país. Para mais informações, acesse www.sec4you.com.br
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>