Segurança da Informação nas empresas é um tema desafiador, além de ser testado diariamente, para gerar indicadores (veja um conteúdo sobre indicadores reversos), o que deixa os CISOs (Chief Information Security Officer) de cabelo em pé. 

O que não é para menos! Visto que a cada dia essa função acumula mais responsabilidades e pressão. E, dentre todas as atribuições do CISO podemos ressaltar:

  • interlocução executiva e alinhamento de Segurança da Informação ao planejamento estratégico da organização;
  • garantir que as equipes tenham ferramentas e acessos às informações para responder aos pontos de auditoria, sendo eles internos e externos;
  • organizar o planejamento de Segurança da Informação, estruturando um Roadmap de ações versus riscos já encontrados;
  • constantemente, avaliar toda a organização em busca de ameaças não mapeadas até o momento;
  • responder publicamente sobre incidentes que venham a ocorrer.

Além de interagir por toda a espinha dorsal de uma organização, os CISOs também interagem com entidades externas, como auditoria e público (clientes da organização). Ou seja, a cobrança vem de todos os lados!

Por isso, uma poderosa ferramenta a favor dos CISOs são os indicadores (KPI: Key Performance Indicator), que auxiliam no entendimento do cenário real e na observação de evoluções. 

Nesse sentido, faço minhas as palavras de Joseph Juran, famoso consultor de negócios e reconhecido mundialmente por seus trabalhos em gestão de qualidade, que diz: “quem não mede não gerencia. Quem não gerencia não melhora”.

Como ter sucesso na implementação de indicadores – KPIs?

Indicadores são ferramentas de sucesso e precisam pertencer ao cotidiano de maneira saudável. Confira abaixo 5 lições para ter sucesso com os indicadores.

1 – Vamos vestir as sandálias da humildade – “in a dark place we find ourselves, and a little more knowledge lights our way.”

É muito importante ter em mente que alguns indicadores começarão com o valor zero, dada a alguma ação que não foi iniciada ou mesmo algum controle, que até aquele momento, não existia na organização.

Então, é preciso segurar a ansiedade! Pois, esse “zero” pode até perdurar por algum tempo, mas é importante que ele apareça. Assim, quando ele começar a evoluir, o CISO e a sua equipe terão balizadores para continuar no caminho certo ou traçar novas rotas.

2 – Quem tudo quer, nada tem – “patience you must have my young padawan.”

O nível de conhecimento dos CISOs normalmente é muito alto, por saberem de maneira clara o que é preciso fazer e onde a organização precisa chegar em termos de Segurança da Informação. 

Sendo assim, de início, não adianta estabelecer 100 indicadores, por exemplo, e não cumprir nenhum.

3 – Disciplina é a chave para mudança de hábito e cultura – “if once you start down the dark path, forever will it dominate your destiny, consume you it will.”

O CISO é o maestro da Segurança da Informação dentro de uma organização e, apesar de ser o responsável pela definição dos indicadores, com certeza não será o responsável por gerá-los. 

No entanto, para acompanhar a evolução dos resultados, uma boa sugestão é reservar 15 minutos semanais para a equipe apresentar os indicadores e se comprometer em obter e manter os dados atualizados, transformando isso em um hábito.

4 – Governar com base em indicadores – “may the KPIs be with you.”

Com base em indicadores, fica tangível e fácil mapear a evolução versus as metas. Por isso, é muito importante que nos 15 minutos semanais sejam apresentados indicadores da última semana e também os das últimas 4 semanas. Além da evolução mensal, trimestral, semestral, etc.

Assim, todos acompanharão de maneira clara e objetiva a efetividade das ações mais granulares. Além de traçar uma linha de tendência, ferramenta muito importante para avaliarem as evoluções, e permitir que o CISO realize a tomada de decisão de forma mais segura e assertiva.

5 – A informação certa, no tempo correto – “always pass on what you have learned.”

Agora, o CISO tem todas as informações necessárias para orquestrar a sua equipe de maneira efetiva. Além dos subsídios para demonstrar o roadmap e resultados para a organização.

Portanto, todo início de uma jornada tende a ser desafiadora e, como descrevi anteriormente, o cotidiano de um CISO não é fácil. Essas lições têm como objetivo criar mecanismos que desviem o CISO de um ciclo vicioso do dia a dia para trabalhar um ciclo virtuoso.