CISOs: 5 lições para você ter sucesso com seus indicadores
Fernando Oliveira
ago. 13, 2019

Segurança da Informação nas empresas é um tema desafiador - além de ser testado diariamente para gerar indicadores - o que deixa os CISOs (Chief Information Security Officer) de cabelo em pé. 


Além de interagir com toda a espinha dorsal da Organização, os CISOs também interagem com entidades externas, como auditoria e público (clientes), recebendo cobrança de todos os lados!


Por isso, uma poderosa ferramenta a favor dos CISOs são os KPIs, que auxiliam no entendimento do cenário real e na observação de evoluções. 


Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade, que diz: “Quem não mede não gerencia. Quem não gerencia não melhora”.


Veja, neste artigo, quais as atribuições do CISO e como ter sucesso na implementação de KPIs





Entre as atribuições do CISO podemos ressaltar:


  • interlocução executiva e alinhamento de Segurança da Informação ao planejamento estratégico da organização;
  • garantir que as equipes tenham ferramentas e acessos às informações para responder aos pontos de auditoria, sendo eles internos e externos;
  • organizar o planejamento de Segurança da Informação, estruturando um Roadmap de ações versus riscos já encontrados;
  • constantemente, avaliar toda a organização em busca de ameaças não mapeadas até o momento;
  • responder publicamente sobre incidentes que venham a ocorrer.




Como ter sucesso na implementação de indicadores (KPIs)?


1. Vamos vestir as sandálias da humildade


In a dark place we find ourselves, and a little more knowledge lights our way.”


É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada a alguma ação que não foi iniciada ou mesmo algum controle, que até aquele momento, não existia na Organização.


Então, é preciso segurar a ansiedade, pois o “zero” pode até perdurar por algum tempo, mas é importante que ele apareça. 

Assim, quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar novas rotas.



 




2. Quem tudo quer, nada tem


Patience you must have my young padawan.”


O nível de conhecimento dos CISOs normalmente é muito alto, por saberem de maneira clara o que é preciso fazer e onde a organização precisa chegar em termos de Segurança da Informação. 


Sendo assim, de início, não adianta estabelecer 100 indicadores, por exemplo, e não cumprir nenhum.


3. Disciplina é a chave para mudança de hábito e cultura


If once you start down the dark path, forever will it dominate your destiny, consume you it will.”


O CISO é o maestro da Segurança da Informação dentro de uma organização e, apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. 


No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar 15 minutos semanais para a equipe apresentar os indicadores e se comprometer em obter e manter os dados atualizados, transformando isso em um hábito.


4. Governar com base em indicadores


May the KPIs be with you.”


Com base em indicadores, fica tangível e fácil mapear a evolução versus as metas. Por isso, é muito importante que nos 15 minutos semanais sejam apresentados indicadores da última semana e também os das últimas 4 semanas. Além da evolução mensal, trimestral, semestral, etc.


Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares. Além de traçar uma linha de tendência, ferramenta muito importante para avaliarem as evoluções, e permitir que o CISO realize a tomada de decisão de forma mais segura e assertiva.


5. A informação certa, no tempo correto


Always pass on what you have learned.”


Agora, o CISO tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva. Além dos subsídios para demonstrar o roadmap e resultados para a organização.

Sobre a SEC 


Todo início de uma jornada tende a ser desafiadora e o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso para trabalhar um ciclo virtuoso.


A Sec4U é um especialista em proteção de identidades, cuja missão é transformar a jornada digital de seus clientes, através de produtos, serviços e projetos de identidades, que proporcionem uma experiência segura, incrível e sem atrito.



Conheça-nos.


 

Acompanhe
nossas redes

Últimos Posts

Como proteger o acesso privilegiado?

Por Natalia Santos 10 mai., 2023
A garantia do acesso privilegiado deve ser um dos pilares de segurança da informação de qualquer empresa, já que o comprometimento das credenciais e dados podem ter impacto s enormes no dia a dia dos negócios. Em dezembro de 2022 o PayPal um grande ciberataque que resultou no acesso de credenciais de 35 mil usuários, obtendo informações pessoais altamente valorizadas na Dark Web. Segundo os especialistas, o ataque carrega todas as características de uma campanha de preenchimento de credenciais. Ações dos cibercriminosos como essa só são possíveis graças a falta de investimento no gerenciamento do acesso privilegiado. Isso mostra como qualquer empresa, grande ou pequena, está sujeita a invasões e roubo de dados caso não tenha uma estratégia de segurança de acesso adequada. Saiba, neste artigo, o que fazer para proteger o acesso privilegiado!

O ciclo de vida de detecção e resposta a ameaças de identidade

Por Natalia Santos 20 abr., 2023
Em 2021, o uso indevido de credenciais esteve envolvido em 40% das violações de segurança . As ameaças de identidade modernas podem corromper os controles preventivos tradicionais de identidade e gerenciamento de acesso (IAM), como a autenticação multifator (MFA). Isso tornou a detecção e resposta a ameaças de identidade (ITDR) uma das principais prioridades de segurança cibernética em 2022 e esta tendência se estenderá nos anos seguintes. Em 2022, o Gartner reconheceu a importância da segurança de identidade ao criar uma nova categoria: Detecção e Resposta a Ameaças à Identidade (ITDR). À medida que as soluções de ITDR aumentam, muitas organizações estão percebendo que, juntamente com uma forte segurança de endpoint, a segurança AD híbrida (ou seja, AD e Azure AD) desempenha um papel central na proteção de identidade e na capacidade de manter a resiliência operacional. Conheça, neste artigo, como funciona o ciclo de vida de detecção e resposta de ameaças à identidade (ITDR).

7 Golpes mais comuns usando o Pix

Por Natalia Santos 29 mar., 2023
Os criminosos têm aproveitado a alta adesão das soluções digitais pela população para tentar aplicar golpes, principalmente usando técnicas de engenharia social, que consistem na manipulação psicológica do usuário para que ele lhe forneça informações confidenciais ou faça transações em favor das quadrilhas. A melhor forma de se proteger de uma tentativa de golpe é a informação. Entre as tentativas de fraudes usadas por bandidos e que podem trazer muitos problemas para o consumidor estão os golpes que envolvem o Pix como meio de pagamento. Veja neste artigo, comportamentos inseguros que podem facilitar a aplicação destes golpes e os 7 fraudes mais comuns.
Share by: