Segurança da Informação nas empresas é um tema desafiador e testado diariamente, deixando os CISO's (sigla em inglês para Chief Information Security Officer) de cabelo em pé. Não é para menos, pois a cada dia essa função acumula mais responsabilidades e pressão. Dentre todas as atribuições podemos ressaltar:

- Interlocução executiva e alinhamento de Segurança da Informação ao planejamento estratégico da organização;
- Garantir que as equipes tenham ferramentas e acessos às informações para responder aos pontos de auditoria, sendo eles internos e externos;
- Organizar o planejamento de Segurança da Informação, estruturando um Roadmap de ações versus riscos já encontrados;
- Constantemente, avaliar toda a organização em busca de ameaças não mapeadas até o momento;
- Responder públicamente sobre incidentes que venham a ocorrer.

Além de interagir por toda a espinha dorsal de uma organização, os CISO's também interagem com entidades externas, como auditoria e muitas vezes com o público (que podem ser clientes da organização). Ou seja, a cobrança vem de todos os lados!

Por isso, uma poderosa ferramenta a favor dos CISO's são os Indicadores ("KPI: Key Performance Indicator"), os quais auxiliam no entendimento do cenário real e na observação de evolução. Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade, que “Quem não mede não gerencia. Quem não gerencia não melhora".

Como se preparar e ter sucesso na implementação de KPI's?

Indicadores como ferramenta de sucesso e pertencendo ao cotidiano de maneira saudável.

Primeira Lição: Vamos vestir as sandálias da humildade: “In a dark place we find ourselves, and a little more knowledge lights our way.”

É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada à alguma ação que não foi iniciada e/ou mesmo algum controle que até aquele momento não existe na organização.

Neste momento, é preciso segurar a ansiedade. Esse “zero” pode até perdurar por algum tempo, mas é importante que ele apareça, pois quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar nova rota.

Segunda Lição: Quem tudo quer, nada tem. “Patience you must have my young padawan”.

O nível de conhecimento dos CISO's normalmente é muito alto. Pois eles sabem de maneira clara, o que é preciso fazer e onde a organização precisa chegar em termos de Segurança da Informação. No entanto, de início, não adianta estabelecerem 100 indicadores, por exemplo, e não cumprirem nenhum.

Terceira Lição: Disciplina é a a chave para mudança de hábito e cultura: “If once you start down the dark path, forever will it dominate your destiny, consume you it will."

O CISO é o maestro da Segurança da Informação dentro de uma organização e apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar, por exemplo, 15 minutos semanais para que a equipe apresente os indicadores e se comprometa em obter e manter os dados atualizados, transformando isso em um hábito.

Quarta Lição: Governar com base em indicadores: "May the KPI's be with you."

Com base em indicadores, fica tangível e fácil para mapear a evolução versus as metas. Por isso, é muito importante que nestes “15 minutos semanais” sejam apresentados os indicadores da última semana, mas também os das últimas 4 semanas, seguidos pela evolução mensal, trimestral etc. Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares, além de poder traçar linha de tendência, ferramenta muito importante para avaliarem às evoluções além de permitir que o CISO tenha a tomada de decisão mais segura e assertiva.

Quinta Lição: A informação certa, no tempo correto: "Always pass on what you have learned.”

Agora, o nosso maestro, o CISO, tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva, com maestria, além dos subsídios para demonstrar o roadmap e resultados para a organização.

Todo início de uma jornada tende a ser desafiadora e, como descrevi anteriormente, o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso do dia a dia para trabalhar um ciclo virtuoso.

*Fernando Oliveira é Fundador e CTO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos.

SEC4YOU

Fundada em 2009, a SEC4YOU é uma empresa 100% brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos. A PAIXÃO pelo que faz e o COMPROMISSO com resultados é o que faz da SEC4YOU uma das principais empresas do ramo no país. Para mais informações, acesse www.sec4you.com.br