Antecipar ameaças, planejar e estruturar processos dentro da organização são alguns dos desafios dos Chief Information Security Officer (CISOs). Os executivos são, constantemente, avaliados por meio de indicadores e pela efetividade na tomada de decisão em relação à segurança holística das empresas. Mas, e se observarmos os indicadores reversos?

Isso mesmo! A proposta é avaliar a maturidade de segurança da empresa como um todo e não apenas dos CISOs. Porém, como isso funciona? 

Na grande maioria, os documentos de avaliação (assessment), que são uma análise de risco por prioridade, impacto e plano de ação, são submetidos para aprovação – total ou parcial – do Board (tomadores de decisão) da empresa. 

Normalmente, o indicador de efetividade do CISO é que, dos 10 itens apresentados no documento de avaliação e aprovados pela empresa, 100% foram implementados.

Como funcionam os indicadores reversos?

Vejamos o que seria os indicadores reversos:

  • dos 100 itens apresentados pelo CISO, a empresa só aprovou 10, ou seja, 10% e;
  • dos itens apresentados no documento de avaliação 50 eram de alto impacto e só aprovaram 5, ou seja, 5%.

Sendo assim, o indicador reverso está no quanto a empresa aprovou dos itens que o CISO sugeriu no documento de avaliação. Ou seja, o indicador reverso seria o funil de iniciativas do CISO versus a aprovação da empresa.

Além disso, divulgar para toda a organização o indicador reverso modifica o foco de evasão na segurança da empresa. Pois apresenta, para toda a organização, com transparência as propostas dos CISOs.

Segurança da Informação aplicada ao negócio

Segurança da Informação é um tema de negócio e gestão de risco empresarial! 

Por esse motivo, o assessment apresentado precisa ser avaliado com cautela pelo Board e os argumentos de alto impacto não devem ser considerados padrões. Ou seja, um conjunto de ideias atribuídas ao CISO. Esse que, constantemente, se concentra em localizar os riscos que podem infringir os sistemas da empresa.

Portanto, é preciso conhecer o valor do assessment exibido pelo CISO e a importância em avaliá-lo da melhor forma possível. Além disso, considerar os indicadores reversos, para modelar a estratégia de segurança, e então, assegurar que o trabalho de proteção da empresa está sendo encarado e executado em conjunto.