Logo
Imprimir esta página

CISOs: 5 Lições para você ter sucesso com os seus Indicadores (KPIs)

Fernando Oliveira, CTO da SEC4YOU Fernando Oliveira, CTO da SEC4YOU

Os indicadores auxiliam no entendimento do cenário real e na observação de evolução

Fernando Oliveira(*)

Segurança da informação nas empresas é um tema desafiador e testado diariamente, deixando os CISOs (sigla em inglês para Chief Information Security Officer) de cabelo em pé. Não é para menos, pois a cada dia essa função acumula mais responsabilidades e pressão. Dentre todas as atribuições podemos ressaltar:

  • Interlocução executiva e alinhamento de segurança da informação ao planejamento estratégico da organização.
  • Garantir que as equipes tenham ferramentas e acessos às informações para responder aos pontos de auditoria, sendo eles internos e externos.
  • Organizar o planejamento de segurança da informação, estruturando um roadmap de ações versus riscos já encontrados.
  • Constantemente, avaliar toda a organização em busca de ameaças não mapeadas até o momento.
  • Responder publicamente sobre incidentes que venham a ocorrer. 

Além de interagir por toda a espinha dorsal de uma organização, os CISOs também interagem com entidades externas, como auditoria e muitas vezes com o público (que podem ser clientes da organização). Ou seja, a cobrança vem de todos os lados! 
Por isso, uma poderosa ferramenta a favor dos CISOs são os Indicadores (“KPI: Key Performance Indicator”), os quais auxiliam no entendimento do cenário real e na observação de evolução. Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade: “Quem não mede não gerencia. Quem não gerencia não melhora”.

Como se preparar e ter sucesso na implementação de KPI's?

Indicadores como ferramenta de sucesso e pertencendo ao cotidiano de maneira saudável.

  • Primeira Lição:Vamos vestir as sandálias da humildade: “ In a dark place we find ourselves, and a little more knowledge lights our way”.

É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada à alguma ação que não foi iniciada e/ou mesmo algum controle que até aquele momento não existe na organização.

Neste momento, é preciso segurar a ansiedade. Esse “zero” pode até perdurar por algum tempo, mas é importante que ele apareça, pois quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar nova rota.

  • Segunda Lição:Quem tudo quer, nada tem. “Patience you must have my young padawan”.

O nível de conhecimento dos CISOs normalmente é muito alto. Pois eles sabem de maneira clara, o que é preciso fazer e onde a organização precisa chegar em termos de segurança da informação. No entanto, de início, não adianta estabelecerem 100 indicadores, por exemplo, e não cumprirem nenhum.  

  • Terceira Lição:Disciplina é a chave para mudança de hábito e cultura: “If once you start down the dark path, forever will it dominate your destiny, consume you it will”.

O CISO é o maestro da segurança da informação dentro de uma organização e apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar, por exemplo, 15 minutos semanais para que a equipe apresente os indicadores e se comprometa em obter e manter os dados atualizados, transformando isso em um hábito.

  • Quarta Lição:Governar com base em indicadores: “May the KPIs be with you”.

Com base em indicadores, fica tangível e fácil para mapear a evolução versus as metas. Por isso, é muito importante que nestes “15 minutos semanais” sejam apresentados os indicadores da última semana, mas também os das últimas quatro semanas, seguidos pela evolução mensal, trimestral etc. Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares, além de poder traçar linha de tendência, ferramenta muito importante para avaliarem às evoluções além de permitir que o CISO tenha a tomada de decisão mais segura e assertiva. 

  • Quinta Lição:A informação certa, no tempo correto: “Always pass on what you have learned”.

Agora, o nosso maestro, o CISO tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva, com maestria, além dos subsídios para demonstrar o roadmap e resultados para a organização.
Todo início de uma jornada tende a ser desafiadora e, como descrevi anteriormente, o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso do dia a dia para trabalhar um ciclo virtuoso
 
(*) CTO da SEC4YOU

Joomla SEO by MijoSEF
Template Design © Joomla Templates GavickPro. All rights reserved.